German Privacy Foundation e.V. Privacy-Handbuch Spurenarm Surfen mit Mozilla Firefox, E-Mails verschlüsseln mit Thunderbird, Anonymisierungsdienste nutzen und Daten verschlüsseln für WINDOWS, Linux 29. September 2009
1
Inhaltsverzeichnis 1 2
Scroogled
6
Angrie auf die Privatsphäre
19
2.1
Beispiel Google . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
2.2
User-Tracking . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
2.3
Überwachungen im Internet . . . . . . . . . . . . . . . . . . . . .
26
2.4
Rechtsstaatliche Grundlagen . . . . . . . . . . . . . . . . . . . . .
29
2.5
Ich habe doch nichts zu verbergen
30
. . . . . . . . . . . . . . . . .
3
Digitales Aikido
33
4
Spurenarm Surfen
34
4.1
Datensparsame Suchmaschinen 4.1.1
4.2
4.3
4.4
Cookies
5
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
Mozilla Firefox kongurieren
. . . . . . . . . . . . . . . .
38
4.2.2
Super-Cookies in Firefox . . . . . . . . . . . . . . . . . . .
40
4.2.3
Flash-Cookies verwalten . . . . . . . . . . . . . . . . . . .
40
JavaScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
4.3.1
NoScript für Mozilla Firefox . . . . . . . . . . . . . . . . .
42
Werbung und HTML-Wanzen . . . . . . . . . . . . . . . . . . . .
44
Adblock für Mozilla Firefox . . . . . . . . . . . . . . . . .
HTTP-Content ltern
44
. . . . . . . . . . . . . . . . . . . . . . . .
44
Plug-Ins für Mozilla Firefox . . . . . . . . . . . . . . . . .
45
Security Plug-Ins . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
4.5.1 4.6
35 36
4.2.1
4.4.1 4.5
. . . . . . . . . . . . . . . . . . .
Firefox kongurieren . . . . . . . . . . . . . . . . . . . . .
Umgang mit Zensur
50
5.1
Strafverfolgung von Kinderpornograe . . . . . . . . . . . . . . .
53
5.2
Die Medien-Kampagne der Zensursula
. . . . . . . . . . . . . . .
55
5.3
Simple Tricks . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
5.4
Unzensierte DNS-Server
. . . . . . . . . . . . . . . . . . . . . . .
59
5.4.1
WINDOWS kongurieren
. . . . . . . . . . . . . . . . . .
61
5.4.2
Linux kongurieren . . . . . . . . . . . . . . . . . . . . . .
61
5.4.3
DNS-Server testen
63
. . . . . . . . . . . . . . . . . . . . . .
2
3
INHALTSVERZEICHNIS
6
7
Allgemeine Hinweise zur E-Mail Nutzung
65
6.1
Mozilla Thunderbird . . . . . . . . . . . . . . . . . . . . . . . . .
65
6.1.1
Wörterbücher installieren
65
6.1.2
Spam-Filter aktivieren . . . . . . . . . . . . . . . . . . . .
66
6.1.3
Gesicherte Verbindungen zum Mail-Server . . . . . . . . .
67
6.1.4
Sichere Konguration des E-Mail Client
. . . . . . . . . .
68
6.1.5
Datenverluste vermeiden . . . . . . . . . . . . . . . . . . .
69
6.1.6
X-Mailer Kennung modizieren . . . . . . . . . . . . . . .
70
6.1.7
Spam-Schutz
72
. . . . . . . . . . . . . . . . . . . . . . . . .
E-Mails verschlüsseln 7.1
7.2
7.3
8
. . . . . . . . . . . . . . . . . .
74
GnuPG und Thunderbird
. . . . . . . . . . . . . . . . . . . . . .
76
7.1.1
Installation von GnuPG . . . . . . . . . . . . . . . . . . .
76
7.1.2
Installation der Enigmail-Erweiterung
. . . . . . . . . . .
77
7.1.3
Schlüsselverwaltung
. . . . . . . . . . . . . . . . . . . . .
78
7.1.4
Signieren und Verschlüsseln erstellter E-Mails . . . . . . .
79
7.1.5
Verschlüsselung in Webformularen
7.1.6
GnuPG SmartCard nutzen
7.1.7
Web des Vertrauens
7.1.8
Schlüssel zurückrufen
. . . . . . . . . . . . .
80
. . . . . . . . . . . . . . . . .
82
. . . . . . . . . . . . . . . . . . . . .
85
. . . . . . . . . . . . . . . . . . . .
88
S/MIME mit Thunderbird . . . . . . . . . . . . . . . . . . . . . .
89
7.2.1
Kostenfreie Certication Authorities . . . . . . . . . . . .
89
7.2.2
Erzeugen eines Zertikates
90
7.2.3
S/MIME-Krypto-Funktionen aktivieren
. . . . . . . . . .
91
7.2.4
Zertikate der Partner und der CA importieren . . . . . .
93
7.2.5
Nachrichten verschlüsseln und signieren
94
. . . . . . . . . . . . . . . . .
. . . . . . . . . .
Root-Zertikate importieren . . . . . . . . . . . . . . . . . . . . .
95
7.3.1
Webbrowser Firefox
95
7.3.2
E-Mail-Client Thunderbird
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
7.4
Eine eigene Certication Authority . . . . . . . . . . . . . . . . .
96
7.5
Ist S/MIME-Verschlüsselung unsicher? . . . . . . . . . . . . . . .
99
7.6
Eine Bemerkung zum Abschluÿ . . . . . . . . . . . . . . . . . . . 101
E-Mail jenseits der Überwachung
102
8.1
AnonBox des CCC . . . . . . . . . . . . . . . . . . . . . . . . . . 102
8.2
PrivacyBox der GPF . . . . . . . . . . . . . . . . . . . . . . . . . 103
8.3
Anonyme E-Mail Accounts
8.4
Tor Messaging
8.5
Mixmaster Remailer 8.5.1
8.6
8.7
. . . . . . . . . . . . . . . . . . . . . 103
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 . . . . . . . . . . . . . . . . . . . . . . . . . 103
Remailer-Webinterface nutzen . . . . . . . . . . . . . . . . 104
Quicksilver für WINDOWS
. . . . . . . . . . . . . . . . . . . . . 104
8.6.1
Installation von Quicksilver . . . . . . . . . . . . . . . . . 105
8.6.2
PGP-Schlüssel verwalten . . . . . . . . . . . . . . . . . . . 107
8.6.3
Remailer-Listen aktualisieren
8.6.4
Anonyme E-Mail schreiben
8.6.5
Anonymes News-Posting schreiben . . . . . . . . . . . . . 111
8.6.6
Weitere Features von Quicksilver . . . . . . . . . . . . . . 112
. . . . . . . . . . . . . . . . 107
. . . . . . . . . . . . . . . . . 109
Mixmaster für Unix/Linux . . . . . . . . . . . . . . . . . . . . . . 113 8.7.1
Mixmaster installieren (Source) . . . . . . . . . . . . . . . 113
8.7.2
Mixmaster-SMTP installieren . . . . . . . . . . . . . . . . 114
4
INHALTSVERZEICHNIS
8.8
8.7.3
Mixmaster kongurieren . . . . . . . . . . . . . . . . . . . 114
8.7.4
Mixmaster-SMTP kongurieren . . . . . . . . . . . . . . . 115
8.7.5
Installation für Debian GNU/Linux
8.7.6
Anonyme E-Mails mit Mixmaster versenden . . . . . . . . 116
8.7.7
Anonymes News-Posting mit Mixmaster versenden . . . . 117
E-Mails anonym empfangen . . . . . . . . . . . . . . . . . . . . . 118 8.8.1
9
. . . . . . . . . . . . 116
Dauerhafter Nym-Account . . . . . . . . . . . . . . . . . . 118
Im Usenet spurenarm posten
121
9.1
News-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
9.2
Thunderbird kongurieren . . . . . . . . . . . . . . . . . . . . . . 123
10 Anonymisierungsdienste
124
10.1 Vergleich von JonDo, Tor, I2P und Freenet
. . . . . . . . . . . . 125
10.2 JonDonym . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 10.2.1 JonDo installieren
. . . . . . . . . . . . . . . . . . . . . . 129
10.2.2 Anonym Surfen mit Firefox . . . . . . . . . . . . . . . . . 131 10.2.3 Anonyme E-Mail Accounts mit Thunderbird 10.3 Tor Onion Router
. . . . . . . 133
. . . . . . . . . . . . . . . . . . . . . . . . . . 137
10.3.1 Tor mal ausprobieren 10.3.2 Tor für WINDOWS
. . . . . . . . . . . . . . . . . . . . 137 . . . . . . . . . . . . . . . . . . . . . 137
10.3.3 Tor für Linux . . . . . . . . . . . . . . . . . . . . . . . . . 138 10.3.4 Privoxy für Tor kongurieren (Linux)
. . . . . . . . . . . 139
10.3.5 Anonym Surfen mit Tor . . . . . . . . . . . . . . . . . . . 140 10.3.6 Anonyme E-Mail Accounts mit Tor nutzen
. . . . . . . . 142
10.3.7 Tor und iptable (Linux) . . . . . . . . . . . . . . . . . . . 145 10.3.8 Tor Hidden Services
. . . . . . . . . . . . . . . . . . . . . 147
10.3.9 Bad Exit Nodes . . . . . . . . . . . . . . . . . . . . . . . . 149 10.4 Invisible Internet Project
. . . . . . . . . . . . . . . . . . . . . . 150
10.4.1 Installation des I2P-Routers . . . . . . . . . . . . . . . . . 150 10.4.2 Konguration des I2P-Router . . . . . . . . . . . . . . . . 152 10.4.3 Anonym Surfen mit I2P . . . . . . . . . . . . . . . . . . . 153 10.4.4 I2P Susimail
. . . . . . . . . . . . . . . . . . . . . . . . . 154
10.4.5 I2P BitTorrent
. . . . . . . . . . . . . . . . . . . . . . . . 156
10.5 Finger weg von unserösen Angeboten . . . . . . . . . . . . . . . . 158 10.5.1 Cloaksh
. . . . . . . . . . . . . . . . . . . . . . . . . . . 158
10.5.2 CyberGhost . . . . . . . . . . . . . . . . . . . . . . . . . . 158 10.5.3 CTunnel.com
. . . . . . . . . . . . . . . . . . . . . . . . . 160
10.5.4 Proxy-Listen
. . . . . . . . . . . . . . . . . . . . . . . . . 160
11 Daten verschlüsseln 11.1 Quick and Dirty mit GnuPG
162 . . . . . . . . . . . . . . . . . . . . 164
11.1.1 GnuPG für WINDOWS . . . . . . . . . . . . . . . . . . . 164 11.2 Truecrypt für WINDOWS . . . . . . . . . . . . . . . . . . . . . . 165 11.2.1 Truecrypt installieren
. . . . . . . . . . . . . . . . . . . . 166
11.2.2 Gedanken zum Schlüssel . . . . . . . . . . . . . . . . . . . 166 11.2.3 Verschlüsselten Container erstellen . . . . . . . . . . . . . 167 11.2.4 Verschlüsselten Container önen
. . . . . . . . . . . . . . 168
11.2.5 Verschlüsselten Container schlieÿen . . . . . . . . . . . . . 169 11.2.6 WINDOWS komplett verschlüsseln . . . . . . . . . . . . . 170
5
INHALTSVERZEICHNIS
11.2.7 Traveller Disk erstellen . . . . . . . . . . . . . . . . . . . . 172 11.3 DM-Crypt für Linux . . . . . . . . . . . . . . . . . . . . . . . . . 173 11.3.1 Gedanken zum Passwort . . . . . . . . . . . . . . . . . . . 174 11.3.2 Verschlüsselten Container erstellen . . . . . . . . . . . . . 174 11.3.3 Passwörter verwalten . . . . . . . . . . . . . . . . . . . . . 176 11.3.4 Verschlüsselten Container önen/schlieÿen . . . . . . . . . 176 11.3.5 Debian GNU/Linux komplett verschlüsseln 11.3.6 SWAP und /tmp verschlüsseln
. . . . . . . . 179
. . . . . . . . . . . . . . . 179
11.3.7 System komplett verschlüsseln für Genieÿer . . . . . . . . 180 11.4 Backups verschlüsseln
. . . . . . . . . . . . . . . . . . . . . . . . 183
11.4.1 Schnell mal auf den USB-Stick
. . . . . . . . . . . . . . . 183
11.4.2 Backups mit aespipe verschlüsseln
. . . . . . . . . . . . . 185
11.4.3 Verschlüsselte Backups mit dar . . . . . . . . . . . . . . . 186
12 Daten löschen
189
13 Daten verstecken
191
13.1 steghide
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
13.2 stegdetect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Kapitel 1
Scroogled Greg landete abends um acht auf dem internationalen Flughafen von San Francisco, doch bis er in der Schlange am Zoll ganz vorn ankam, war es nach Mitternacht. Er war der ersten Klasse nussbraun, unrasiert und drahtig entstiegen, nachdem er einen Monat am Strand von Cabo verbracht hatte, um drei Tage pro Woche zu tauchen und sich in der übrigen Zeit mit der Verführung französischer Studentinnen zu beschäftigen. Vor vier Wochen hatte er die Stadt als hängeschultriges, kullerbäuchiges Wrack verlassen. Nun war er ein bronzener Gott, der bewundernde Blicke der Stewardessen vorn in der Kabine auf sich zog. Vier Stunden später war in der Schlange am Zoll aus dem Gott wieder ein Mensch geworden. Sein Elan war ermattet, Schweiÿ rann ihm bis hinunter zum Po, und Schultern und Nacken waren so verspannt, dass sein Rücken sich anfühlte wie ein Tennisschläger. Sein iPod-Akku hatte schon längst den Geist aufgegeben, sodass ihm keine andere Ablenkung blieb, als dem Gespräch des Pärchens mittleren Alters vor ihm zu lauschen. Die Wunder moderner Technik, sagte die Frau mit Blick auf ein Schild in seiner Nähe: Einwanderung - mit Unterstützung von Google. Ich dachte, das sollte erst nächsten Monat losgehen? Der Mann setzte seinen Riesen-Sombrero immer wieder auf und ab. Googeln an der Grenze - Allmächtiger. Greg hatte sich vor sechs Monaten von Google verabschiedet, nachdem er seine Aktienoptionen zu Barem gemacht hatte, um sich eine Auszeit zu gönnen, die dann allerdings nicht so befriedigend wurde wie erhot. Denn während der ersten fünf Monate hatte er kaum etwas anderes getan, als die Rechner seiner Freunde zu reparieren, tagsüber vorm Fernseher zu sitzen und zehn Pfund zuzunehmen - was wohl darauf zurückzuführen war, dass er nun daheim herumsaÿ statt im Googleplex mit seinem gut ausgestatteten 24-Stunden-Fitnessclub. Klar, er hätte es kommen sehen müssen. Die US-Regierung hatte 15 Milliarden Dollar daran verschwendet, Besucher an der Grenze zu fotograeren und ihre Fingerabdrücke zu nehmen - und man hatte nicht einen einzigen Terroristen geschnappt. Augenscheinlich war die öentliche Hand nicht in der
6
7
Lage, richtig zu suchen. Der DHS-Beamte hatte tiefe Ringe unter den Augen und blinzelte auf seinen Monitor, während er die Tastatur mit seinen Wurstngern traktierte. Kein Wunder, dass es vier Stunden dauerte, aus dem verdammten Flughafen rauszukommen. n Abend, sagte Greg und reichte dem Mann seinen schwitzigen Pass. Der Mann grunzte etwas und wischte ihn ab, dann starrte er auf den Bildschirm und tippte. Eine Menge. Ein kleiner Rest getrockneten Essens klebte ihm im Mundwinkel, und er bearbeitete ihn mit seiner Zunge. Möchten Sie mir was über Juni 1998 erzählen? Greg blickte vom Abugplan hoch. Pardon? Sie haben am 17. Juni 1998 eine Nachricht auf alt.burningman über Ihre Absicht geschrieben, ein Festival zu besuchen. Und da fragten Sie: Sind Psychopilze wirklich so eine schlechte Idee? Der Interviewer im zweiten Befragungsraum war ein älterer Mann, nur Haut und Knochen, als sei er aus Holz geschnitzt. Seine Fragen gingen sehr viel tiefer als Psychopilze. Berichten Sie von Ihren Hobbys. Befassen Sie sich mit Raketenmodellen? Womit? Mit Raketenmodellen. Nein, sagte Greg, überhaupt nicht. Er ahnte, worauf das hinauslief. Der Mann machte eine Notiz und klickte ein paarmal. Ich frage nur, weil bei Ihren Suchanfragen und Ihrer Google-Mail ne Menge Werbung für Raketenzubehör auftaucht. Greg schluckte. Sie blättern durch meine Suchanfragen und Mails? Er hatte nun seit einem Monat keine Tastatur angefasst, aber er wusste: Was er in die Suchleiste eintippte, war wahrscheinlich aussagekräftiger als alles, was er seinem Psychiater erzählte. Sir, bleiben Sie bitte ruhig. Nein, ich schaue Ihre Suchanfragen nicht an., sagte der Mann mit einem gespielten Seufzer. Das wäre verfassungswidrig. Wir sehen nur, welche Anzeigen erscheinen, wenn Sie Ihre Mails lesen oder etwas suchen. Ich habe eine Broschüre, die das erklärt. Sie bekommen sie, sobald wir hier durch sind. Aber die Anzeigen bedeuten nichts, platzte Greg heraus. Ich bekomme Anzeigen für Ann-Coulter-Klingeltöne, sooft ich eine Mail von meinem Freund
8
KAPITEL 1.
SCROOGLED
in Coulter, Iowa, erhalte! Der
Mann
nickte.
Ich
verstehe,
Sir.
Und
genau
deshalb
spreche
ich
jetzt hier mit Ihnen. Können Sie sich erklären, weshalb bei Ihnen so häug Modellraketen-Werbung erscheint? Greg grübelte. Okay, probieren wir es mal. Suchen Sie nach coee fanatics. Er war in der Gruppe mal ziemlich aktiv gewesen und hatte beim Aufbau der Website ihres Kaee-des-Monats-Abodienstes geholfen. Die Bohnenmischung zum Start des Angebots hieÿ Turbinen-Treibsto . Das plus Start, und schon würde Google ein paar Modellraketen-Anzeigen einblenden. Die Sache schien gerade ausgestanden zu sein, als der geschnitzte Mann die
Halloween-Fotos entdeckte
- tief
vergraben
auf
der
dritten
Seite
der
Suchergebnisse für Greg Lupinski. Es war eine Golfkriegs-Themenparty im Castro, sagte er. Und Sie sind verkleidet als . . . ? Selbstmordattentäter, erwiderte er kläglich. Das Wort nur auszusprechen verursachte ihm Übelkeit. Kommen Sie mit, Mr. Lupinski, sagte der Mann. Als er endlich gehen durfte, war es nach drei Uhr. Seine Koer standen verloren am Gepäckkarussell. Er nahm sie und sah, dass sie geönet und nachlässig wieder geschlossen worden waren; hier und da lugten Kleidungsstücke heraus. Daheim stellte er fest, dass all seine pseudopräkolumbianischen Statuen zerbrochen worden waren und dass mitten auf seinem brandneuen weiÿen mexikanischen
Baumwollhemd
ein
ominöser
Stiefelabdruck
prangte.
Seine
Kleidung roch nun nicht mehr nach Mexiko - sie roch nach Flughafen. An Schlaf war jetzt nicht mehr zu denken, er musste über die Sache reden. Es gab nur eine einzige Person, die all das begreifen würde. Zum Glück war sie normalerweise um diese Zeit noch wach. Maya war zwei Jahre nach Greg zu Google gekommen. Sie war es, die ihn überzeugt hatte, nach dem Einlösen der Optionen nach Mexiko zu gehen: Wohin auch immer, hatte sie gesagt, solange er nur seinem Dasein einen Neustart verpasste. Maya hatte zwei riesige schokobraune Labradors und eine überaus geduldige Freundin, Laurie, die mit allem einverstanden war, solange es nicht bedeutete, dass sie selbst morgens um sechs von 350 Pfund sabbernder Caniden durch Dolores Park geschleift wurde.
9
Maya gri nach ihrem Tränengas, als Greg auf sie zugelaufen kam; dann blickte sie ihn erstaunt an und breitete ihre Arme aus, während sie die Leinen fallen lieÿ und mit dem Schuh festhielt. Wo ist der Rest von dir? Mann, siehst du heiÿ aus! Er erwiderte die Umarmung, plötzlich seines Aromas nach einer Nacht invasiven Googelns bewusst. Maya, sagte er, was weiÿt du über Google und das DHS? Seine Frage lieÿ sie erstarren. Einer der Hunde begann zu jaulen. Sie blickte sich um, nickte dann hoch in Richtung der Tennisplätze. Auf dem Laternenmast - nicht hinschauen, sagte sie. Da ist einer unserer lokalen Funknetz-Hotspots. Weitwinkel-Webcam. Guck in die andere Richtung, während du sprichst. Letztlich war es für Google gar nicht teuer gewesen, die Stadt mit Webcams zu überziehen - vor allem, wenn man bedachte, welche Möglichkeiten es bot, Menschen die passende Werbung zu ihrem jeweiligen Aufenthaltsort liefern zu können. Greg hatte seinerzeit kaum Notiz davon genommen, als die Kameras auf all den Hotspots ihren öentlichen Betrieb aufnahmen; es hatte einen Tag lang Aufruhr in der Blogosphäre gegeben, während die Leute mit dem neuen Allesseher zu spielen begannen und an diverse Rotlichtviertel heranzoomten, doch nach einer Weile war die Aufregung abgeebbt. Greg kam sich albern vor, er murmelte: Du machst Witze. Komm
mit,
erwiderte
sie,
nicht
ohne
sich
dabei
vom
Laternenpfahl
abzuwenden. Die Hunde waren nicht einverstanden damit, den Spaziergang abzukürzen, und taten ihren Unmut in der Küche kund, wo Maya Kaee zubereitete. Wir haben einen Kompromiss mit dem DHS ausgehandelt, sagte sie und gri nach der Milch. Sie haben sich damit einverstanden erklärt, nicht mehr unsere Suchprotokolle zu durchwühlen, und wir lassen sie im Gegenzug sehen, welcher Nutzer welche Anzeigen zu sehen bekommt. Greg fühlte sich elend. Warum? Sag nicht, dass Yahoo es schon vorher gemacht hat . . . N-nein. Doch, ja sicher, Yahoo war schon dabei. Aber das war nicht der Grund für Google mitzumachen. Du weiÿt doch, die Republikaner hassen Google. Wir sind gröÿtenteils als Demokraten registriert, also tun wir unser Bestes, mit ihnen Frieden zu schlieÿen, bevor sie anfangen, sich auf uns einzuschieÿen. Es geht ja auch nicht um P.I.I. - persönlich identizierende Information, der toxische Smog der Informationsära - sondern bloÿ um Metadaten. Also ist es bloÿ ein bisschen böse. Warum dann all die Heimlichtuerei?
10
KAPITEL 1.
SCROOGLED
Maya seufzte und umarmte den Labrador, dessen gewaltiger Kopf auf ihrem Knie ruhte. Die Schlapphüte sind wie Läuse - die sind überall. Tauchen sogar in unseren Konferenzen auf, als wären wir in irgendeinem Sowjet-Ministerium. Und dann die Sicherheitseinstufungen - das spaltet uns in zwei Lager: solche mit Bescheinigung und solche ohne. Jeder von uns weiÿ, wer keine Freigabe hat, aber niemand weiÿ, warum. Ich bin als sicher eingestuft - zum Glück fällt man als Lesbe nicht mehr gleich automatisch durch. Keine sichere Person würde sich herablassen, mit jemandem essen zu gehen, der keine Freigabe hat. Greg fühlte sich sehr müde. Na, da kann ich von Glück reden, dass ich lebend aus dem Flughafen herausgekommen bin. Mit Pech wäre ich jetzt eine Vermisstenmeldung, was? Maya blickte ihn nachdenklich an. Er wartete auf eine Antwort. Was ist denn? Ich werde dir jetzt was erzählen, aber du darfst es niemals weitergeben, o.k.? Ähm, du bist nicht zufällig in einer terroristischen Vereinigung? Wenn es so einfach wäre . . . Die Sache ist die: Was das DHS am Flughafen treibt, ist eine Art Vorsortierung, die es den Schlapphüten erlaubt, ihre Suchkriterien enger zu fassen. Sobald du an der Grenze ins zweite Zimmerchen gebeten wirst, bist du eine Person von Interesse - und dann haben sie dich im Gri. Sie suchen über Webcams nach deinem Gesicht und Gang, lesen deine Mail, überwachen deine Suchanfragen. Sagtest du nicht, die Gerichte würden das nicht erlauben? Sie erlauben es nicht, jedermann undierenziert auf blauen Dunst zu googeln. Aber sobald du im System bist, wird das eine selektive Suche. Alles legal. Und wenn sie dich erst mal googeln, nden sie garantiert irgendwas. Deine gesamten Daten werden auf verdächtige Muster abgegrast, und aus jeder Abweichung von der statistischen Norm drehen sie dir einen Strick. Greg fühlte Übelkeit in sich aufsteigen. Wie zum Teufel konnte das passieren? Google war ein guter Ort. Tu nichts Böses, war da nicht was? Das war das Firmenmotto, und für Greg war es ein Hauptgrund dafür gewesen, seinen Stanford-Abschluss in Computerwissenschaften direkten Wegs nach Mountain View zu tragen. Mayas Erwiderung war ein raues Lachen. Tu nichts Böses? Ach komm, Greg.
Unsere
Lobbyistengruppe
ist
dieselbe
Horde
von
Kryptofaschisten,
die Kerry die Swift-Boat-Nummer anhängen wollte. Wir haben schon längst angefangen, vom Bösen zu naschen. Sie schwiegen eine Minute lang.
11
Es ging in China los, sagte sie schlieÿlich. Als wir unsere Server aufs Festland brachten, unterstellten wir sie damit chinesischem Recht. Greg seufzte. Er wusste nur zu gut um Googles Einuss: Sooft man eine Webseite mit Google Ads besuchte, Google Maps oder Google Mail benutzte - ja sogar, wenn man nur Mail an einen Gmail-Nutzer sendete -, wurden diese Daten von der Firma penibel gesammelt. Neuerdings hatte Google sogar
begonnen,
die
Suchseite
auf
Basis
solcher
Daten
für
die
einzelnen
Nutzer zu personalisieren. Dies hatte sich als revolutionäres Marketingwerkzeug erwiesen. Eine autoritäre Regierung würde damit andere Dinge anfangen wollen. Sie benutzten uns dazu, Prole von Menschen anzulegen, fuhr sie fort. Wenn sie jemanden einbuchten wollten, kamen sie zu uns und fanden einen Vorwand dafür. Schlieÿlich gibt es kaum eine Aktivität im Internet, die in China nicht illegal ist. Greg schüttelte den Kopf. Und warum mussten die Server in China stehen? Die Regierung sagte, sie würde uns sonst blocken. Und Yahoo war schon da. Sie schnitten beide Grimassen. Irgendwann hatten die Google-Mitarbeiter eine Obsession für Yahoo entwickelt und sich mehr darum gekümmert, was die Konkurrenz trieb, als darum, wie es um das eigene Unternehmen stand. Also taten wir es - obwohl viele von uns es nicht für eine gute Idee hielten. Maya schlürfte ihren Kaee und senkte die Stimme. Einer ihrer Hunde schnupperte unablässig unter Gregs Stuhl. Die Chinesen forderten uns praktisch sofort auf, unsere Suchergebnisse zu zensieren, sagte Maya. Google kooperierte. Mit einer ziemlich bizarren Begründung: Wir tun nichts Böses, sondern wir geben den Kunden Zugri auf
eine bessere Suchmaschine! Denn wenn wir ihnen Suchergebnisse präsentierten, die sie nicht aufrufen können, würde sie das doch nur frustrieren - das wäre ein mieses Nutzererlebnis. Und jetzt? Greg schubste einen Hund beiseite. Maya wirkte gekränkt. Jetzt bist du eine Person von Interesse, Greg. Du wirst googlebelauert. Du lebst jetzt ein Leben, in dem dir permanent jemand über die Schulter blickt. Denk an die Firmen-Mission: Die Information der Welt organisieren. Alles. Lass fünf Jahre ins Land gehen, und wir wissen, wie viele Haufen in der Schüssel waren, bevor du sie gespült hast. Nimm dazu die automatisierte Verdächtigung von jedem, der Übereinstimmungen mit dem statistischen Bild eines Schurken aufweist, und du bist . . . . . . verraten und vergoogelt. Voll und ganz, nickte sie. Maya brachte beide Labradors zum Schlafzimmer. Eine gedämpfte Diskussion mit ihrer Freundin war zu hören, dann kam sie allein zurück.
12
KAPITEL 1.
SCROOGLED
Ich kann die Sache in Ordnung bringen, presste sie üsternd hervor. Als die Chinesen mit den Verhaftungen anngen, machten ein paar Kollegen und ich es zu unserem 20-Prozent-Projekt, ihnen in die Suppe zu spucken. (Eine von Googles unternehmerischen Innovationen war die Regel, dass alle Angestellten 20 Prozent ihrer Arbeitszeit in anspruchsvolle Projekte nach eigenem Gusto zu investieren hatten.) Wir nennen es den Googleputzer. Er greift tief in die Datenbanken ein und normalisiert dich statistisch. Deine Suchanfragen, Gmail-Histogramme, Surfmuster. Alles. Greg, ich kann dich googleputzen. Eine andere Möglichkeit hast du nicht. Ich will nicht, dass du meinetwegen Ärger bekommst. Sie schüttelte den Kopf. Ich bin ohnehin schon geliefert. Jeder Tag, seit ich das verdammte Ding programmiert habe, ist geschenkte Zeit. Ich warte bloÿ noch drauf, dass jemand dem DHS meinen Background steckt, und dann . . . tja, ich weiÿ auch nicht. Was auch immer sie mit Menschen wie mir machen in ihrem Krieg gegen abstrakte Begrie. Greg dachte an den Flughafen, an die Durchsuchung, an sein Hemd mit dem Stiefelabdruck. Tu es, sagte er. Der Googleputzer wirkte Wunder. Greg erkannte es daran, welche Anzeigen am Rand seiner Suchseiten erschienen, Anzeigen, die oensichtlich für jemand anderen gedacht waren. Fakten zum Intelligent Design, Abschluss im Online-Seminar, ein terrorfreies Morgen, Pornograeblocker, die homosexuelle Agenda, billige Toby-Keith-Tickets. Es war oensichtlich, dass Googles neue personalisierte Suche ihn für einen völlig anderen hielt: einen gottesfürchtigen Rechten mit einer Schwäche für Cowboy-Musik. Nun gut, das sollte ihm recht sein. Dann klickte er sein Adressbuch an und stellte fest, dass die Hälfte seiner Kontakte fehlte. Sein Gmail-Posteingang war wie von Termiten ausgehöhlt, sein Orkut-Prol normalisiert. Sein Kalender, Familienfotos, Lesezeichen: alles leer. Bis zu diesem Moment war ihm nicht klar gewesen, wie viel seiner selbst ins Web migriert war und seinen Platz in Googles Serverfarmen gefunden hatte - seine gesamte Online-Identität. Maya hatte ihn auf Hochglanz poliert; er war jetzt Der Unsichtbare. Greg tippte schläfrig auf die Tastatur seines Laptops neben dem Bett und erweckte den Monitor zum Leben. Er blinzelte die Uhr in der Toolbar an. 4:13 Uhr morgens! Allmächtiger, wer hämmerte denn um diese Zeit gegen seine Tür? Er rief mit nuscheliger Stimme Komm ja schon und schlüpfte in Morgenmantel und Pantoeln. Dann schlurfte er den Flur entlang und knipste unterwegs die Lichter an. Durch den Türspion blickte ihm düster Maya entgegen.
13
Er entfernte Kette und Riegel und önete die Tür. Maya huschte an ihm vorbei, gefolgt von den Hunden und ihrer Freundin. Sie war schweiÿüberströmt, ihr normalerweise gekämmtes Haar hing strähnig in die Stirn. Sie rieb sich die roten, geränderten Augen. Pack deine Sachen, stieÿ sie heiser hervor. Was? Sie packte ihn bei den Schultern. Mach schon, sagte sie. Wohin willst . . . Mexiko wahrscheinlich. Weiÿ noch nicht. Nun pack schon, verdammt. Sie drängte sich an ihm vorbei ins Schlafzimmer und begann, Schubladen zu önen. Maya, sagte er scharf, ich gehe nirgendwohin, solange du mir nicht sagst, was los ist. Sie starrte ihn an und wischte ihre Haare aus dem Gesicht. Der Googleputzer lebt. Als ich dich gesäubert hatte, habe ich ihn runtergefahren und bin verschwunden. Zu riskant, ihn noch weiter zu benutzen. Aber er schickt mir Mailprotokolle, sooft er läuft. Und jemand hat ihn sechs Mal verwendet, um drei verschiedene Benutzerkonten zu schrubben - und die gehören zufällig alle Mitgliedern des Senats-Wirtschaftskomitees, die vor Neuwahlen stehen. Googler frisieren die Prole von Senatoren? Keine Google-Leute. Das kommt von auÿerhalb; die IP-Blöcke sind in D.C. registriert. Und alle IPs werden von Gmail-Nutzern verwendet. Rate mal, wem diese Konten gehören. Du schnüelst in Gmail-Konten? Hm, ja. Ich habe durch ihre E-Mails geschaut. Jeder macht das mal, und mit weitaus übleren Motiven als ich. Aber stell dir vor, all diese Aktivität geht von unserer Lobbyistenrma aus. Machen nur ihren Job, dienen den Interessen des Unternehmens. Greg fühlte das Blut in seinen Schläfen pulsieren. Wir sollten es jemandem erzählen. Das bringt nichts. Die wissen alles über uns. Sehen jede Suchanfrage, jede Mail, jedes Mal, wenn uns die Webcams erfassen. Wer zu unserem sozialen Netzwerk gehört . . . Wusstest du das? Wenn du 15 Orkut-Freunde hast, ist es statistisch gesehen sicher, dass du höchstens drei Schritte entfernt bist von jemandem, der schon mal Geld für terroristische Zwecke gespendet hat. Denk an den Flughafen - das war erst der Anfang für dich.
14
KAPITEL 1.
SCROOGLED
Maya, sagte Greg, der nun seine Fassung wiedergewann, übertreibst du es nicht mit Mexiko? Du könntest doch kündigen, und wir ziehen ein Start-up auf. Aber das ist doch bescheuert. Sie kamen heute zu Besuch, entgegnete sie. Zwei politische Beamte vom DHS. Blieben stundenlang und stellten eine Menge verdammt harter Fragen. Über den Googleputzer? Über meine Freunde und Familie. Meine Such-Geschichte. Meine persönliche Geschichte. Jesus. Das war eine Botschaft für mich. Die beobachten mich - jeden Klick, jede Suche. Zeit zu verschwinden, jedenfalls aus ihrer Reichweite. In Mexiko gibt es auch eine Google-Niederlassung. Wir müssen jetzt los, beharrte sie. Laurie, was hältst du davon?, fragte Greg. Laurie stupste die Hunde zwischen die Schultern. Meine Eltern sind 65 aus Ostdeutschland weggegangen. Sie haben mir immer von der Stasi erzählt. Die Geheimpolizei hat alles über dich in deiner Akte gesammelt: ob du vaterlandsfeindliche Witze erzählst, all son Zeug. Ob sie es nun wollten oder nicht, Google hat inzwischen das Gleiche aufgezogen. Greg, kommst du nun? Er blickte die Hunde an und schüttelte den Kopf. Ich habe ein paar Pesos übrig, sagte er. Nehmt sie mit. Und passt auf euch auf, ja? Maya zog ein Gesicht, als wolle sie ihm eine runterhauen. Dann entspannte sie sich und umarmte ihn heftig. Pass du auf dich auf , üsterte sie ihm ins Ohr. Eine Woche später kamen sie zu ihm. Nach Hause, mitten in der Nacht, genau wie er es sich vorgestellt hatte. Es war kurz nach zwei Uhr morgens, als zwei Männer vor seiner Tür standen. Einer blieb schweigend dort stehen. Der andere war ein Lächler, klein und faltig, mit einem Fleck auf dem einen Mantelrevers und einer amerikanischen Flagge auf dem anderen. Greg Lupinski, es besteht der begründete Verdacht, dass Sie gegen das Gesetz über Computerbetrug und -missbrauch verstoÿen haben, sagte er, ohne sich vorzustellen. Insbesondere, dass Sie Bereiche autorisierten Zugangs überschritten und sich dadurch Informationen verschat haben. Zehn Jahre für Ersttäter. Auÿerdem gilt das, was Sie und Ihre Freundin
15
mit Ihren Google-Daten gemacht haben, als schweres Verbrechen. Und was dann noch in der Verhandlung zutage kommen wird . . . angefangen mit all den Dingen, um die Sie Ihr Prol bereinigt haben. Greg hatte diese Szene eine Woche lang im Geist durchgespielt, und er hatte sich allerlei mutige Dinge zurechtgelegt, die er hatte sagen wollen. Es war eine willkommene Beschäftigung gewesen, während er auf Mayas Anruf wartete. Der Anruf war nie gekommen. Ich möchte einen Anwalt sprechen, war alles, was er herausbrachte. Das können Sie tun, sagte der kleine Mann. Aber vielleicht können wir zu einer besseren Einigung kommen. Greg fand seine Stimme wieder. Darf ich mal Ihre Marke sehen? Das Basset-Gesicht des Mannes hellte sich kurz auf, als er ein amüsiertes Glucksen unterdrückte. Kumpel, ich bin kein Bulle, entgegnete er. Ich bin Berater. Google beschäftigt mich - meine Firma vertritt ihre Interessen in Washington -, um Beziehungen aufzubauen. Selbstverständlich würden wir niemals die Polizei hinzuziehen, ohne zuerst mit Ihnen zu sprechen. Genau genommen möchte ich Ihnen ein Angebot unterbreiten. Greg wandte sich der Kaeemaschine zu und entsorgte den alten Filter. Ich gehe zur Presse, sagte er. Der Mann nickte, als ob er darüber nachdenken müsse. Na klar. Sie gehen eines Morgens zum Chronicle und breiten alles aus. Dort sucht man nach einer Quelle, die Ihre Story stützt; man wird aber keine nden. Und wenn sie danach suchen, werden wir sie nden. Also lassen Sie mich doch erst mal ausreden, Kumpel. Ich bin im Win-Win-Geschäft, und ich bin sehr gut darin. Er pausierte. Sie haben da übrigens hervorragende Bohnen, aber wollen Sie sie nicht erst eine Weile wässern? Dann sind sie nicht mehr so bitter, und die Öle kommen besser zur Geltung. Reichen Sie mir mal ein Sieb? Greg auszog
beobachtete
und
über
den
den
Mann
dabei,
Küchenstuhl
wie
hängte,
er die
schweigend
seinen
Manschetten
Mantel
önete,
die
Ärmel sorgfältig hochrollte und eine billige Digitaluhr in die Tasche steckte. Er kippte die Bohnen aus der Mühle in Gregs Sieb und wässerte sie in der Spüle. Er war ein wenig untersetzt und sehr bleich, mit all der sozialen Anmut eines Elektroingenieurs. Wie ein echter Googler auf seine Art, besessen von Kleinigkeiten. Mit Kaeemühlen kannte er sich also auch aus. Wir stellen ein Team für Haus 49 zusammen . . . Es gibt kein Haus 49, sagte Greg automatisch.
16
KAPITEL 1.
SCROOGLED
Schon klar, entgegnete der andere mit verknienem Lächeln. Es gibt kein Haus 49. Aber wir bauen ein Team auf, das den Googleputzer überarbeiten soll. Mayas Code war nicht sonderlich schlank und steckt voller Fehler. Wir brauchen ein Upgrade. Sie wären der Richtige; und was Sie wissen, würde keine Rolle spielen, wenn Sie wieder an Bord sind. Unglaublich, sagte Greg spöttisch. Wenn Sie denken, dass ich Ihnen helfe, im Austausch für Gefälligkeiten politische Kandidaten anzuschwärzen, sind Sie noch wahnsinniger, als ich dachte. Greg, sagte der Mann, niemand wird angeschwärzt. Wir machen nur ein paar Dinge sauber. Für ausgewählte Leute. Sie verstehen mich doch? Genauer betrachtet gibt jedes Google-Prol Anlass zur Sorge. Und genaue Betrachtung ist der Tagesbefehl in der Politik. Eine Bewerbung um ein Amt ist wie eine öentliche Darmspiegelung. Er befüllte die Kaeemaschine und drückte mit vor Konzentration verzerrtem Gesicht den Kolben nieder. Greg holte zwei Kaeetassen (Google-Becher natürlich) und reichte sie weiter. Wir tun für unsere Freunde das Gleiche, was Maya für Sie getan hat. Nur ein wenig aufräumen. Nur ihre Privatsphäre schützen - mehr nicht. Greg nippte am Kaee. Was geschieht mit den Kandidaten, die Sie nicht putzen? Na ja, sagte Gregs Gegenüber mit dünnem Grinsen, tja, Sie haben Recht, für die wird es ein bisschen schwierig. Er kramte in der Innentasche seines Mantels und zog einige gefaltete Blätter Papier hervor, strich sie glatt und legte sie auf den Tisch. Hier ist einer der Guten, der unsere Hilfe braucht. Es war das ausgedruckte Suchprotokoll eines Kandidaten, dessen Kampagne Greg während der letzten drei Wahlen unterstützt hatte. Der Typ kommt also nach einem brutalen Wahlkampf-Tag voller Klinkenputzen ins Hotel, fährt den Laptop hoch und tippt knackige Ärsche in die Suchleiste. Ist doch kein Drama, oder? Wir sehen es so: Wenn man wegen so was einen guten Mann daran hindert, weiterhin seinem Land zu dienen, wäre das schlichtweg unamerikanisch. Greg nickte langsam. Sie werden ihm also helfen?, fragte der Mann. Ja. Gut. Da wäre dann noch was: Sie müssen uns helfen, Maya zu nden. Sie hat überhaupt nicht verstanden, worum es uns geht, und jetzt scheint sie sich verdrückt zu haben. Wenn sie uns bloÿ mal zuhört, kommt sie bestimmt wieder rum. Er betrachtete das Suchprol des Kandidaten.
17
Denke ich auch, erwiderte Greg. Der neue Kongress benötigte elf Tage, um das Gesetz zur Sicherung und Erfassung von Amerikas Kommunikation und Hypertext zu verabschieden. Es erlaubte dem DHS und der NSA, bis zu 80 Prozent der Aufklärungs- und Analysearbeit an Fremdrmen auszulagern. Theoretisch wurden die Aufträge über oene Bietverfahren vergeben, aber in den sicheren Mauern von Googles Haus 49 zweifelte niemand daran, wer den Zuschlag erhalten würde. Wenn Google 15 Milliarden Dollar für ein Programm ausgegeben hätte, Übeltäter an den Grenzen abzufangen, dann hätte es sie garantiert erwischt - Regierungen sind einfach nicht in der Lage, richtig zu suchen. Am Morgen darauf betrachtete Greg sich prüfend im Rasierspiegel (das Wachpersonal mochte keine Hacker-Stoppelbärte und hatte auch keine Hemmungen, das deutlich zu sagen), als ihm klar wurde, dass heute sein erster Arbeitstag als De-facto-Agent der US-Regierung begann. Wie schlimm mochte es werden? Und war es nicht besser, dass Google die Sache machte, als irgendein ungeschickter DHS-Schreibtischtäter? Als er am Googleplex zwischen all den Hybridautos und überquellenden Fahrradständern parkte, hatte er sich selbst überzeugt. Während er sich noch fragte, welche Sorte Bio-Fruchtshake er heute in der Kantine bestellen würde, verweigerte seine Codekarte den Zugang zu Haus 49. Die rote LED blinkte immer nur blöde vor sich hin, wenn er seine Karte durchzog. In jedem anderen Gebäude würde immer mal jemand raus- und wieder reinkommen, dem man sich anschlieÿen könnte. Aber die Googler in 49 kamen höchstens zum Essen raus, und manchmal nicht einmal dann. Ziehen, ziehen, ziehen. Plötzlich hörte er eine Stimme neben sich. Greg, kann ich Sie bitte sprechen? Der verschrumpelte Mann legte einen Arm um seine Schulter, und Greg atmete den Duft seines Zitrus-Rasierwassers ein. So hatte sein Tauchlehrer in Baja geduftet, wenn sie abends durch die Kneipen zogen. Greg konnte sich nicht an seinen Namen erinnern: Juan Carlos? Juan Luis? Der Mann hielt seine Schulter fest im Gri, lotste ihn weg von der Tür, über den tadellos getrimmten Rasen und vorbei am Kräutergarten vor der Küche. Wir geben Ihnen ein paar Tage frei, sagte er. Greg durchschoss eine Panikattacke. Warum? Hatte er irgendetwas falsch gemacht? Würden sie ihn einbuchten? Es ist wegen Maya. Der Mann drehte ihn zu sich und begegnete ihm mit einem Blick endloser Tiefe. Sie hat sich umgebracht. In Guatemala. Es tut mir Leid, Greg. Greg spürte, wie der Boden unter seinen Füÿen verschwand und wie er meilenweit emporgezogen wurde. In einer Google-Earth-Ansicht des Googleplex
18
KAPITEL 1.
SCROOGLED
sah er sich und den verschrumpelten Mann als Punktepaar, zwei Pixel, winzig und belanglos. Er wünschte, er könnte sich die Haare ausreiÿen, auf die Knie fallen und weinen. Von weit, weit weg hörte er sich sagen: Ich brauche keine Auszeit. Ich bin okay. Von weit, weit weg hörte er den verschrumpelten Mann darauf bestehen. Die Diskussion dauerte eine ganze Weile, dann gingen die beiden Pixel in Haus 49 hinein, und die Tür schloss sich hinter ihnen.
Wir danken dem Autor Cory Doctorow und dem Übersetzer Christian Wöhrl dafür, dass sie den Text unter einer Creativ Commons Lizenz zur Nutzung durch Dritte bereitstellen.
Kapitel 2
Angrie auf die Privatsphäre Im realen Leben ist Anonymität die tagtäglich erlebte Erfahrung. Wir gehen eine Straÿe enlang, kaufen eine Zeitung, ohne uns ausweisen zu müssen. Das Aufgeben von Anonymität (z.B. mit Rabattkarten) ist eine aktive Entscheidung. Im Internet ist es genau umgekehrt. Von jedem Nutzer werden Prole erstellt.
Websitebetreiber
sammeln
Informationen
(Surfverhalten,
E-Mail-
Adressen), um beispielsweise mit dem Verkauf der gesammelten Daten ihr Angebot zu nanzieren. Betreiber von Werbe-Servern nutzen die Möglichkeiten, das Surfverhalten websiteübergreifend zu erfassen.
Abbildung 2.1: Möglichkeiten zur Überwachung im WWW
Staatliche Maÿnahmen zur umfassenden, globalen Überwachung der Bevölkerung werden scheibchenweise ausgebaut und müssen von Providern unterstützt werden. (Vorratsdatenspeicherung, Access-Blocking...)
19
20
KAPITEL 2.
ANGRIFFE AUF DIE PRIVATSPHÄRE
2.1 Beispiel Google Das Beispiel Google wurde aufgrund der Bekanntheit gewählt. Auch andere Firmen versuchen ähnliche Dienste zu etablieren, die vergleichbar arbeiten. (MSN, Yahoo, Amazon...).
Google Web Search Googles Websuche ist in Deutschland die Nummer Eins. 89% der Suchanfragen gehen direkt an google.de. Mit den Suchdiensten wie Ixquick, Metager2, Web.de... die indirekt Anfragen an Google weiterleiten, beantwortet der Primus ca. 95% der deutschen Suchanfragen. (Stand 2008) 1. Laut
Einschätzung
der
Electronic
Frontier
Foundation
werden
alle
Suchanfragen protokolliert und die meisten durch Cookies, IP-Adressen und Informationen von Google Accounts einzelnen Nutzern zugeordnet.
In den Datenschutzbestimmungen von Google kann man nachlesen, dass diese Informationen (in anonymisierter Form) auch an Dritte weitergegeben werden. Eine Einwilligung der Nutzer in die Datenweitergabe liegt nach Ansicht der Verantwortlichen vor, da mit der Nutzung des Dienstes auch die AGBs akzeptiert wurden. Sie sind schlieÿlich auf der Website öentlich einsehbar. 2. Nicht nur die Daten der Nutzer werden analysiert. Jede Suchanfrage und die Reaktionen auf die angezeigten Ergebnisse werden protokolliert und ausgewertet.
Google Flu Trends zeigt, wie gut diese Analyse der Suchanfragen bereits arbeitet. Anhand der Such-Protokolle wird eine Ausbreitung der Grippe um 1-2 Wochen schneller erkannt, als es bisher dem U.S. Center for Disease Control and Prevention möglich war.
Die mathematischen Grundlagen für diese Analysen wurden im Rahmen der Bewertung von Googles 20%-Projekten entwickelt. Bis 2008 konnten Entwickler bei Google 20% ihrer Arbeitszeit für eigene Ideen verwenden. Interessante Ansätze aus diesem Umfeld gingen als Beta-Version online (z.B. Orkut). Die Reaktionen der Surfer auf diese Angebote wurde genau beobachtet. Projekte wurden wieder abgeschaltet, wenn sie die harten Erfolgskriterien nicht erfüllten (z.B. Google Video).
Inzwischen hat Google die 20%-Klausel abgeschat. Die Kreativität der eigenen Mitarbeiter ist nicht mehr notwendig und zu teuer. Diese Änderung der Firmanpolitik wird von iner Fluktuation des Personals begleitet. 30% des kreativen Stammpersonals von 2000 haben der Firma inzwischen den Rücken zugekehrt. (Stand 2008)
Die
entwickelten
Bewertungsverfahren
werden
zur
Beobachtung
der
Trends im Web eingesetzt. Der Primus unter den Suchmaschinen ist
2.1.
21
BEISPIEL GOOGLE
damit in der Lage, erfolgversprechende Ideen und Angebote schneller als alle Anderen zu erkennen und darauf zu reagieren.
Ideen werden nicht mehr selbst entwickelt, sondern aufgekauft und in das Imperium Google integriert. Seit 2004 wurden 60 Firmen übernommen, welche zuvor die Basis für die meisten aktuellen Angebote von Google entwickelt hatten: Youtube, Google Docs, Google Maps, Google Earth, Google Analytics, Picasa, SketchUp, die Blogger-Plattformen...
Das weitere Wachstum des Imperiums scheint langfristig gesichert.
Zu spät hat die Konkurrenz erkannt, welches enorme Potential die Auswertung von Suchanfragen darstellt. Mit dem Börsengang 2004 musste Google seine Geheimniskrämerei etwas lockern und für die Bösenaufsicht Geschäftsdaten veröentlichen. Microsoft hat daraufhin Milliaden Dollar in MSN Live Search versenkt und Amazon, ein weiterer Global Player im Web, der verniedlichend als Online Buchhändler bezeichnet wird, versuchte mit A9 ebenfalls eine Suchmaschine zu etablieren.
Adsense, DoubleClick, Analytics & Co. 80% der wesentlichen deutschsprachigen Webangebote sind mit verschiedenen Elementen von Google für die Einblendung kontextsensitiver Werbung und Trac-Analyse inziert! (Reppesgaard: Das Google Imperium, 2008) Jeder Aufruf einer derart präparierten Website wird bei Google registriert und ausgewertet. Neben kommerziellen Verkaufs-Websites, Informationsangeboten professioneller Journalisten und Online-Redaktionen gehören die Websites politischer Parteien genauso dazu, wie unabhängige Blogger auf den Plattformen blog-
ger.com und blogspot.com sowie private Websites, die sich über ein paar Groschen aus dem Adsense-Werbe-Programm freuen. Untragbar wird diese Datenspionage, wenn politische Parteien wie die CSU ihre Spender überwachen lassen. Die CSU bietet ausschlieÿlich die Möglichkeit, via Paypal zu spenden. Die Daten stehen damit inklusive Wohnanschrift und Kontonummer einem amerikanischen Groÿunternehmen zur Verfügung. Auÿerdem lässt die CSU ihre Spender mit Google-Analytics beobachten. Der Datenkrake erhält damit eindeutige Informationen über politischen Anschauungen. Diese Details können im Informationskrieg wichtig sein. Damit kennt das Imperium nicht nur den Inhalt der Websites, die vom Google-Bot
für
den
Index
der
Suchmaschine
abgeklappert
wurden.
Auch
Trac und Besucher der meisten Websites sind bekannt. Diese Daten werden Werbetreibenden anonymisiert zur Verfügung gestellt. Die Grak Bild 2.2 zur Besucherstatistik wurde vom Google Ad-Planner für eine (hier nicht genannte) Website erstellt. Man erkennt, das der überwiegende
22
KAPITEL 2.
ANGRIFFE AUF DIE PRIVATSPHÄRE
Abbildung 2.2: Ad-Planner Besucherstatistik (Beispiel)
Anteil der Besucher männlich und zwischen 35-44 Jahre alt ist. (Die Informationen zu Bildung und Haushaltseinkommen müssen im Vergleich zu allgm. Statistiken der Bevölkerung bewertet werden, was hier mal entfällt.)
Wie kommt das Imperium zu diesen Daten? Es gibt so gut wie keine Möglichheit, diese Daten irgendwo einzugeben. Google fragt NICHT nach diesen Daten. Die Daten werden aus der Analyse des Surf- und Suchverhaltens gewonnen. Google kauft bei Marktforschungsunternehmen groÿe Mengen an Informationen, die in die Kalkulation einieÿen. Wenn jemand sich mit dem Browser des iPhone auf der Seite von BMW über Preise für einen Neuwagen informiert, kann Google ihn einer Einkommensgruppe zuordnen. Wird der Surfer später beim Besuch von Spiegel-Online durch Einblendung von Werbung wiedererkannt, kommt ein entsprechender Vermerk in die Datenbank. Auÿerdem kann die Werbung passend zu seinen Interessen und Finanzen präsentiert werden. (Die Realität ist natürlich etwas komplexer.)
Google Mail, Talk, News... (personalisierte Dienste) Mit einem einheitlichem Google-Konto können verschiedene personalisierte Angebote genutzt werden. (Google Mail, News, Talk, Calendar, Alert, Orkut, Börsennachrichten..... iGoogle) Bei der Anmeldung ist das Imperium weniger wissbegierig, als vergleichbare kommerzielle Anbieter. Vor- und Nachname, Login-Name und Passwort reichen aus. Es ist nicht unbedingt nötig, seinen realen Namen anzugeben. Ein Pseudonym wird auch akzeptiert.
2.1.
23
BEISPIEL GOOGLE
Die Accounts ermöglichen es, das Surf- und Suchverhalten, die in den zusammengestellten Nachrichtenquellen erkennbaren Interessen usw. eindeutig einem Prol zuzuordnen. Die unsicher Zuordnung über allgmeine Cookies, IP-Adressen und andere Merkmale ist nicht nötig.
Auÿerdem dienen die Dienste als Flächen für personalisierte und gut bezahlte Werbung.
Patente aus dem Umfeld von Google Mail zeigen, dass dabei nicht nur Prole über die Inhaber der Accounts erstellt, sondern auch die Kommunikationspartner unter die Lupe genommen werden. Wer an einen Google Mail Account eine eMail sendet, landet in der Falle des Datenkraken.
Die Einrichtung eine Google-Accounts ermöglicht es aber auch, gezielt die gesammelten Daten in gewissem Umfang zu beeinussen. Man kann Einträge aus der Such- und Surf-Historie löschen u.ä. (Besser ist es sicher, die Einträge von vornherein zu vermeiden.)
Google Chrome und Google Toolbar Noch
immer
gibt
es
Millionen
Surfer,
die
bisher
keinen
Google-Account
eingerichtet haben. Um auch für diese Nutzer eindeutige Prole generieren zu können, hat Google den Webbrowser Chrome und die Google-Toolbar für diverse andere Webbrowser entwickelt.
Diese Applikationen senden zusammen mit einer nutzerspezischen ID die Infomationen über jede besuchte Website an Google. (kein weiterer Kommentar nötig - oder?)
Google Chrome bietet einen sogenannten Privacy-Mode. In diesem Modus (auch Porno-Mode genannt) werden keine Daten auf die Festplatte geschrieben. Die Datenübertragung an Google bleibt davon aber unberührt.
Smartphone G1 Nach dem Erfolg von Apples iPhone hat Google die Zeichen der Zeit erkannt und sucht mit dem Smartphone G1 auf dem Markt der mobilen Kommunikation ähnliche Erfolge wie im Web.
Das G1 ist ein in Hardware gegossenes Pendant zum Webbrowser Google Chrome. Beim ersten Einschalten wird der Nutzer gebeten, einen GoogleAccount
anzulegen.
Ohne
Account
bei
Google
geht
fast
nichts
mit
dem
Hightech-Spielzeug, nur Telefonieren ist möglich.
Alle E-Mails laufen über Google Mail, Termine werden mit dem Google Calendar abgeglichen, die Kontaktdaten landen bei Google....
24
KAPITEL 2.
ANGRIFFE AUF DIE PRIVATSPHÄRE
Mozilla Firefox Google ist der Hauptsponsor der Firefox Entwickler. Von 70 Mio. Dollar Einnahmen der Mozilla Foundation stammen 65 Mio. Dollar von Google. Das ist natürlich in erster Linie ein Angri auf Microsoft und den dominierenden Internet Explorer. Die Entwickler von Firefox kommen ihrem datensammelden Hauptsponsor jedoch in vielen Punkten deutlich entgegen:
•
Google ist die einzige allgemeine Suchmaschine, die unbedarften Nutzern zur Verfügung steht. Alternativen sind standardmäÿig nicht vorhanden und müssen von den Nutzer aktiv gesucht und installiert werden.
•
Die Default-Startseite ermöglicht es Google, ein langlebiges Cookie zu setzen und den Browser damit praktisch zu personalisieren.
•
Sollte die Startseite modiziert werden (z.B. bei der Variante Iceweasel von Debian GNU/Linux), erfolgt die Personalisierung des Browsers wenige Minuten später durch Aktualisierung der Phishing-Datenbank.
•
Diese Personalisierung ermöglicht es Google, den Nutzer auf allen Webseiten zu erkennen, die mit Werbeanzeigen aus dem Imperium oder Google-Analytics verschmutzt sind. Im deutschsprachigen Web hat sich diese Verschmutzung auf 4/5 der relevanten Webseiten ausgebreitet.
(Trotzdem ist Mozilla Firefox ein guter Browser. Mit wenigen Anpassungen und Erweiterungen von unabhängigen Entwicklern kann man ihm die Macken austreiben und spurenarm durchs Web surfen.)
Die (virtuelle) Welt ist eine Google - oder? Die vernetzten Rechenzentren von Google bilden den mit Abstand gröÿten Supercomputer der Welt. Dieser Superrechner taucht in keiner TOP500-Liste auf, es gibt kaum Daten, da das Imperium sich bemüht, diese Informationen geheim zu halten. Die Datenzentren werden von (selbständigen?) Gesellschaften wie Exaop LLC betrieben. Neugierige Journalisten, Blogger und Technologieanalysten tragen laufend neues Material über diese Maschine zusammen. In den Materialsammlungen ndet man 12 bedeutende Anlagen in den USA und 5 in Europa, die als wesentliche Knotenpunkte des Datenuniversums eingeschätzt werden. Weitere kleinere Rechenzentren stehen in Dublin, Paris, Mailand, Berlin, München Frankfuhrt und Zürich. In Council Blus (USA), Thailand, Malaisia und Litauen werden neue Rechenzentren gebaut, die dem Imperium zuzurechnen sind. Das gröÿte aktuelle Bauprojekt vermuten Journalisten in Indien. (2008) Experten schätzen, dass ca. 1 Mio. PCs in den Rechenzentren für Google laufen (Stand 2007). Alle drei Monate kommen etwa 100 000 weitere PCs hinzu. Es werden billige Standard-Komponenten verwendet, die zu Clustern zusammengefasst und global mit dem Google File System (GFS) vernetzt werden. Das GFS gewährleistet dreifache Redundanz bei der Datenspeicherung.
2.2.
USER-TRACKING
25
Die Kosten für diese Infrastruktur belaufen sich auf mehr als zwei Milliarden Dollar jährlich. (2007) Die Videos von Youtube sollen für 10% des gesamten Tracs im Internet verantwortlich sein. Über den Anteil aller Dienste des Imperiums am InternetTrac kann man nur spekulieren.
Google dominiert unser (virtuelles) Leben. Dabei geht es nicht um ein paar Cookies sondern um eine riesige Maschinerie.
Das Image ist (fast) alles Die Archillesferse von Google ist das Image. In Ländern, die traditionell skeptisch gegenüber amerikanischen Unternehmen eingestellt sind, konnte Google längst nicht diese Markbeherrschung aufbauen wie in den USA und Westeuropa. In Russland und China beantwortet der Suchdienst weniger als 20% der Anfragen. Primus in Russland ist die Suchmaschine Yandex, in China dominiert
Baidu, in Tschechien Seznam.
2.2 User-Tracking Viele Betreiber von Diensten im Web nutzen die Möglichkeiten, das Surfverhalten über mehrere Websites hinweg zu verfolgen, zu analysieren und die gesammelten Daten zu verkaufen. Gesetzliche Schranken scheint man groÿächig zu ignorieren. Die Universität Karlsruhe hat eine Studie veröentlicht, die zu dem Ergebnis kommt, dass nur 5 von 100 Unternehmen im Internet geltende Gesetze zum Datenschutz respektieren, http://privacy.ipd.uka.de. Der Nutzer ist also auf Selbstschutz angewiesen. Die in Webseiten darstellte Werbung wird meist von wenigen Anbietern zur Verfügung gestellt. Diese nutzen verschiedene Möglichkeiten, um Surfer zu erkennen, das Surfverhalten Website übergreifend zu erfassen und anhand dieser Daten Nutzerprole zu generieren, die optimale Werbegrak einzublenden. Neben Werbung werden auch HTML-Wanzen (so genannten Webbugs) für das Tracking eingesetzt. Dabei handelt es sich um 1x1-Pixel groÿe transparente Bildchen, welche in den HTML-Code einer Webseite oder einer E-Mail eingebettet werden. Sie sind für den Nutzer unsichtbar und werden beim Betrachten einer Webseite oder beim Önen der E-Mail von einem externen Server geladen. Die dabei in den Logs des Servers hinterlassenen Spuren ermöglichen eine Verfolgung des Surfverhaltens. Die Firma ReadNotify bietet einen Service, der E-Mails, Word-Dokumente und PDF-Dateien mit speziellen unsichtbaren Elemten versieht. Diese werden beim Önen einer E-Mail oder eines Dokuentes vom Server der Firma nachgeladen und erlauben somit eine Konrolle, wer wann welches Dokument önet. Via Geo-Location ermittelt ReadNotify auch den ungefähren Standort des Lesers.
26
KAPITEL 2.
ANGRIFFE AUF DIE PRIVATSPHÄRE
2.3 Überwachungen im Internet Unter http://www.daten-speicherung.de/index.php/ueberwachungsgesetze ndet man eine umfassende Übersicht zu verschiedene Sicherheits-Gesetzen der letzten Jahre. Neben einer Auistung der Gesetze wird auch dargestellt, welche Parteien des Bundestages dafür und welche Parteien dagegen gestimmt haben. Sehr schön erkennbar ist das Muster der Zustimmung durch die jeweiligen Regierungsparteien und meist Ablehnung durch die Opposition, von Böswilligen als Demokratie-Simulation bezeichnet. Unabhängig vom Wahlergebnis wird durch die jeweiligen Regierungsparteien die Überwachung ausgebaut, denn
Du bist
Terrorist! (http://www.dubistterrorist.de) Zensur im Internet Die Zensur wird in Deutschland im Namen des Kampfes gegen Kinderpornograe im Internet eingeführt. Man wird nicht müde zu behaupten, es gäbe einen Millionen Euro schweren Massenmarkt, der durch Sperren von Websites empndlich ausgetrocknet werden kann. Die Aussagen wurden überprüft und für falsch befunden. http://blog.odem.org/2009/05/quellenanalyse.html 1. In der ersten Stufe unterzeichneten die fünf groÿen Provider freiwillig einen geheimen Vertrag mit dem BKA. Sie verpichteten sich, eine Liste von Websites zu sperren, die vom BKA ohne jegliche Kontrolle erstellt wird. 2. In der zweiten Stufe wurde am 18.06.09 das Zugangserschwernisgesetz verabschiedet. Alle Provider mit mehr als 10.000 Kunden sollen diese geheime Liste von Websites zu sperren. Neben den (ungeeigneten) DNS-Sperren sollen auch IP-Sperren und Filterung der Inhalte zum Einsatz kommen. Die Content-Maa proliert sich bereits als potentieller Nutznieÿer der Sperren, der Zugang zu Ballerspiele soll damit eingeschränkt werden. Vielleicht werden in Zukunft auch Websites gesperrt, die unter den Paragraph 130 StGB fallen, wie Kai Bierman auf Zeit Online vermutet.
Die
verfassungsrechlichen
der
wissenschaftliche
zusammengefasst.
Bedenken
Dienst
des
gegen
die
Bundestages
Sperrmaÿnahmen in
einem
hat
Gutachten
http://netzpolitik.org/wp-upload/bundestag_lter-
gutachten.pdf
BKA Gesetz Mit dem BKA Gesetz wird eine Polizei mit den Kompetenzen eines Geheimdienstes geschaen. Zu diesen Kompetenzen gehören neben der
heimlichen
Online-Durchsuchung
von
Computern
der
Lauschan-
gri auÿerhalb und innerhalb der Wohnung (incl. Video), Raster- und Schleierfahndung, weitgehende Abhörbefugnisse, Einsatz von V-Leuten, verdeckten Ermittlern und informellen Mitarbeitern...
Im Rahmen präventiver Ermittlungen (d.h. ohne konkreten Tatverdacht) soll das BKA die Berechtigung erhalten, in eigener Regie zu handeln und Abhörmaÿnahmen auch auf Geistliche, Abgeordnete, Journalisten
2.3.
27
ÜBERWACHUNGEN IM INTERNET
und Strafverteidiger auszudehnen. Im Rahmen dieser Vorfeldermittlungen unterliegt das BKA nicht der Leitungsbefugnis der Staatsanwaltschaft.
Damit wird sich das BKA bis zu einem gewissen Grad jeglicher Kontrolle, der justiziellen und erst recht der parlamentarischen, entziehen können. Wolfgang Wieland (Grüne)
Telekommunikationsüberwachungsverordnung Auf richterliche Anordnung wird eine Kopie der gesamten Kommunikation an Strafverfolgungsbehörden weitergeleitet. Dieser Eingri in das verfassungsmäÿig garantierte Recht auf unbeobachtete Kommunikation ist nicht nur bei Verdacht schwerer Verbrechen möglich, sondern auch bei einigen mit Geldstrafe bewährten Vergehen und sogar bei Fahrlässigkeitsdelikten (siehe 100a StPO).
Laut Gesetz kann die Überwachung auch ohne richterliche Genehmigung begonnen werden. Sie ist jedoch spätestens nach 3 Tagen einzustellen, wenn bis dahin keine richterliche Genehmigung vorliegt.
Vorratsdatenspeicherung Ohne jeglichen Verdacht werden die Verbindungsdaten jeder Kommunikation gespeichert (beispielsweise Absender und Empfänger jeder E-Mail, die Adresse jeder betrachteten Webseite usw.). Der Wissenschaftliche Dienst des Bundestages hat ein Rechtsgutachten mit schweren Bedenken hierzu vorgelegt. Trotzdem hat der Bundstag das Gesetz am 18.4.2007 verabschiedet.
Die Versuche zur Einführung der VDS begannen bereits im letzten Jahrhundert.
1997
wurde
die
VDS
aufgrund
verfassungsrechtlicher
Bedenken abgelehnt, 2002 wurde ein ähnlicher Gesetzentwurf vom Deutschen Bundestag abgelehnt und die Bundesregierung beaufragt, gegen einen entsprechenden Rahmenbeschluÿ auf EU-Ebene zu stimmen (siehe Bundestag-Drucksache 14/9801). Entgegen diesem Auftrag des Bundestages war die deutsche Regierung eine treibende Kraft zur Einführung der VDS auf EU-Ebene.
Der Zugri auf die gespeicherten Daten sollte nicht nur zur Verfolgung schwerer Verbrechen möglich sein, sondern bei allen Vergehen, die mittels Telekommunikation begangen werden. Auch präventiv, also ohne jeden Tatverdacht, sollten Ermittler und Geheimdienste in den Daten schürfen dürfen. Diesen Vorhaben hat das BVerfG einen Riegel vorgeschoben.
Präventiv-polizeil. Telekommunikationsüberwachung ermöglicht es den Strafverfolgungsbehörden der Länder Bayern, Thüringen, Niedersachsen, Hessen und Rheinland-Pfalz den Telefon- und E-Mail-Verkehr von Menschen mitzuschneiden, die keiner(!) Straftat verdächtigt werden. Es reicht aus, in der Nähe eines Verdächtigten zu wohnen oder möglicherweise in Kontakt mit ihm zu stehen.
28
KAPITEL 2.
ANGRIFFE AUF DIE PRIVATSPHÄRE
Die Anzahl der von dieser Maÿnahme Betroenen verdoppelt sich Jahr für Jahr. Gleichzeitig führen nur 17% der Überwachungen zu Ergebnissen im Rahmen der Ermittlungen.
Datenbanken Begleitet werden diese Polizei-Gesetze vom Aufbau umfangreicher staatlicher Datensammlungen. Von der Schwarze Liste der Ausländerfreunde (Einlader-Datei) bis zur AntiTerrorDatei, die bereits 20.000 Personen enthält, obwohl es in Deutschland keinen Terroranschlag gibt. (Abgesehen von den Muppets aus dem Sauerland, deren Islamische Jihad Union oensichtlich eine Erndung der Geheimdienste ist.)
Elektronisicher PA Mit dem Elektronischen Personalausweis wird die biometrische Voll-Erfassung der Bevölkerung voran getrieben. Auÿerdem werden die Grundlagen für eine eindeutige Identizierung im Internet gelegt, begleitet von fragwürdigen Projekten wie De-Mail.
Der Elektronische Polizeistaat Was unterscheidet einen elektronischen Polizeistaat von einer Diktatur? Gibt es dort auch eine Geheime Bundespolizei, die Leute nachts aus der Wohnung holt und abtransportiert, ohne juristischen Verfahren einsperrt... Ein
elektronischer
Polizeistaat
arbeitet
sauberer.
Es
werden
elektroni-
sche Technologien genutzt um forensische Beweise gegen BürgerInnen aufzuzeichnen, zu organisieren, zu suchen und zu verteilen. Die Informationen werden unbemerkt und umfassend gesammelt, um sie bei Bedarf für ein juristisches Verfahren als Beweise aufzubereiten.
Würde man noch den Mut haben, gegen die Regierung zu opponieren, wenn diese Einblick in jede Email, in jede besuchte Porno-Website, jeden Telefonanruf und jede Überweisung hat? Bei einem Vergleich von 52 Staaten hinsichtlich des Ausbaus des elektronischen Polizeistaat hat Deutschland einen beachtlichen 10 Platz belegt. Es verwundert nicht, dass an erster Stelle China und Nordkorea, gefolgt von Weiÿrussland und Russland stehen. Dann aber wird bereits Groÿbritannien aufgelistet, gefolgt von den USA, Singapur, Israel, Frankreich und Deutschland.
Noch sei der Polizeistaat nicht umfassen realisiert, aber alle Fundamente sind gelegt. Es sei schon zu spät, dies zu verhindern. Mit dem Bericht wolle man die Menschen darauf aufmerksam machen, dass ihre Freiheit bedroht ist. Das dieser Polizeistaat bereits arbeitsfähig ist, zeigt die Aäre Jörg Tauss. Ein unbequemer Politiker mit viel zu engen Kontakten zum CCC, der Datenschutz ernst nimmt, gegen das BKA-Gesetz und gegen Zensur auftritt, wird wenige Monate vor der Wahl des Konsums von KiPo verdächtigt. Die Medien stürzen sich auf das Thema. Innerhalb kurzer Zeit ist J. Tauss als Politiker demontiert, unabhängig von einer Verurteilung. Ähnliche Fälle in den letzten Jahren hatten wenig Resonanz in der Presse:
2.4.
29
RECHTSSTAATLICHE GRUNDLAGEN
Abbildung 2.3: Vergleich der elektronischen Polizeistaaten
1. Auf
dem
Dienstcomputer
eines
hochrangigen
Mitglieds
des
hessi-
schen Innenministeriums sind vermutlich Kinderpornos entdeckt worden. (25.07.2007) 2. Kinderpornos: CDU-Politiker unter Verdacht (01.04.2005) 3. Der CDU-Politiker Andreas Zwickl aus Neckarsulm ist wegen Verdachts
des Besitzes von... (05.03.2009) Der Springer-Presse standen im Fall Tauss umfangreiche Informationen zur Verfügung. Woher kamen diese Informationen? Jemand hat die Ermittlungsakten an die Presse weitergegeben! http://blog.fefe.de/?ts=b74d1e08
2.4 Rechtsstaatliche Grundlagen Es ist erkennbar, wohin die Reise gehen soll. Die Räder rollen bereits. Es wird Zeit, ein neues Ziel zu buchen, bevor der Zug endgültig abgefahren ist. Das Post- und Fernmeldegeheimnis, die Unverletzlichkeit der Privatsphäre und der ungehinderte Zugang zu Informationen sind in der UN-Resolution 217 A (III) [5] als grundlegende Menschenrechte deniert. Diese Resolution wurde 1948 unmittelbar nach den Erfahrungen der Diktatur verabschiedet und hat unser Grundgesetz maÿgeblich beeinusst. Eine verfassungskonforme Gesetzgebung müsste den Intentionen des Grundgesetzes folgen und die in den Artikeln 2, 10 und 13 denierten Grundrechte anerkennen. 1. Ein Eingri in die vom Grundgesetz geschützten Rechte ist nur zur Verfolgung schwerer Verbrechen zulässig. Es sind vom Gesetzgeber klare Festlegungen zu treen, was ein schweres Verbrechen ist.
30
KAPITEL 2.
ANGRIFFE AUF DIE PRIVATSPHÄRE
2. Der Eingri muss im Einzelfall gründlich geprüft und genehmigt werden. Es kann nicht sein, dass der Verfassungsschutz selbst entscheidet, welche Rechner er hacken darf, oder dass das BKA ohne juristische Kontrolle unliebsame Websites sperrt. 3. Ähnlich wie bei Hausdurchsuchungen ist eine Oenheit der Maÿnahme anzustreben. Um Betroen die Gelegenheit zu geben, Rechtsmittel gegen ungerechtfertigte Bespitzelung einzulegen, ist eine Informationspicht nach Abschluss der Maÿnahme vorzusehen. Das Bundesverfasungsgericht hat mehrfach die Einhaltung verfassungsrechtlicher Vorgaben angemahnt. Leider werden diese Grundsatzurteile immer wieder ignoriert. Ausschnitte aus einigen lesenswerten Begründungen:
•
Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaÿen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. ( Bereits 1983 wies der 1. Senates des Bundesverfassungsgerichts in seiner Urteilsbegründung zum Volkszählungsgesetz darauf hin, dass durch die grenzenlose Nutzung moderner Datenverarbeitungsanlagen ein psychischer Druck auf den Einzelnen entsteht, sein Verhalten aufgrund der öentlichen Anteilnahme anzupassen.)
•
Inzwischen scheint man sich an den Gedanken gewöhnt zu haben, dass mit den mittlerweile entwickelten technischen Möglichkeiten auch deren grenzenloser Einsatz hinzunehmen ist. Wenn aber selbst die persönliche Intimsphäre ... kein Tabu mehr ist, vor dem das Sicherheitsbedürfnis Halt zu machen hat, stellt sich auch verfassungsrechtlich die Frage, ob das Menschenbild, das eine solche Vorgehensweise erzeugt, noch einer freiheitlich- rechtsstaatlichen Demokratie entspricht. (Aus dem Sondervotum der Richterinnen R. Jaeger und C. Hohmann- Dennherdt des 1. Senates des Bundesverfassungsgerichts zum Groÿen Lauschangri 2004.)
2.5 Ich habe doch nichts zu verbergen Dies Argument höre ich oft. Haben wir wirklich nichts zu verbergen? Einige Beispiele sollen exemplarisch zeigen, wie willkürlich gesammelte Daten unser Leben gravierend beeinussen können:
•
Im Rahmen der Zulässigkeitsprüfung für Piloten wurde Herr J. Schreiber mit folgenden vom Verfassungsschutz gesammelten Fakten konfrontiert: http://www.pilotundugzeug.de/artikel/2006-02-10/Spitzelstaat 1. Er wurde 1994 auf einer Demonstration kontrolliert. Er wurde nicht angezeigt, angeklagt oder einer Straftat verdächtigt, sondern nur als Teilnehmer registriert. 2. Oensichtlich wurde daraufhin sein Bekanntenkreis durchleuchtet.
2.5.
31
ICH HABE DOCH NICHTS ZU VERBERGEN
3. Als Geschäftsführer einer GmbH für Softwareentwicklung habe er eine vorbestrafte Person beschäftig. Er sollte erklären, welche Beziehung er zu dieser Person habe. 4. Laut Einschätzung des Verfassungsschutzes neige er zu politischem Extremismus, da er einen Bauwagen besitzt. Bei dem sogenannten
Bauwagen handelt es sich um einen Allrad-LKW, den Herr S. für Reisen nutzt (z.B. in die Sahara). Für Herrn S. ging die Sache gut aus. In einer Stellungnahme konnte er die in der Akte gesammelten Punkte erklären. In der Regel wird uns die Gelegenheit einer Stellungnahme jedoch nicht eingeräumt.
•
Ein junger Mann meldet sich freiwillig zur Bundeswehr. Mit sechs Jahren war er kurzzeitig in therapheutischer Behandlung, mit vierzehn hatte er etwas gekit. Seine besorgte Mutter ging mit ihm zur Drogenberatung. In den folgenden Jahren gab es keine Drogenprobleme. Von der Bundeswehr erhält er eine Ablehnung, da er ja mit sechs Jahren eine Psychotherapie durchführen musste und Drogenprobleme gehabt hätte. http://blog.kairaven.de/archives/998-Datenstigmaanekdote.html
•
Kollateralschäden: Ein groÿer deutscher Provider liefert falsche Kommunikationsdaten ans BKA. Der zu Unrecht Beschuldigte erlebt das volle Programm: Hausdurchsuchung, Beschlagnahme der Rechner, Verhöre und sicher nicht sehr lustige Gespräche im Familienkreis. Die persönlichen und wirtschaftlichen Folgen sind nur schwer zu beziern. http://www.lawblog.de/index.php/archives/2008/03/11/provider-liefertfalsche-daten-ans-bka/
Noch krasser ist das Ergebnis der Operation Ore in Groÿbritannien. 39 Menschen, zu Unrecht wegen Konsums von Kinderpornograe verurteilt, haben Selbstmord begangen, da ihnen alles genommen wurde. http://en.wikipedia.org/wiki/Operation_Ore
•
Leimspur des BKA: Wie schnell man in das Visier der Fahnder des BKA geraten kann, zeigt ein Artikel bei Zeit-Online. Die Websites des BKA zur Gruppe mg ist ein Honeypot, der dazu dient, weitere Sympathiesanten zu identizieren. Die Bundesanwaltschaft verteidigt die Maÿnahme als legale Fahndungsmethode. Das Innenministerium hat dem BKA die Praxis bis auf weiteres untersagt.
Mit dem im Juni 2009 beschlossenen BSI-Gesetz übernimmt die Behörde die
Aufzeichnung
und
unbegrenzte
Speicherung
personenbeziehbarer
Nutzerinformationen wie IP-Adressen, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallenden.
Wir können daraus nur den Schluÿ ziehen, diese und ähnliche Angebote in Zukunft ausschlieÿlich mit Anonymisierungsdiensten zu nutzen. Nicht immer treten die (repressiven) Folgen staatlicher Sammelwut für die Betroenen so deutlich hervor. In der Regel werden Entscheidungen über uns
32
KAPITEL 2.
ANGRIFFE AUF DIE PRIVATSPHÄRE
getroen, ohne uns zu benachrichtigen. Wir bezeichnen die (repressiven) Folgen dann als Schicksal.
Politische Aktivisten Wer sich politisch engagiert und auf gerne vertuschte Miÿstände hinweist, hat besonders unter der Sammelwut staatlicher Stellen zu leiden. Wir möchte jetzt nicht an Staaten wie Iran oder China mäkeln. Einige deutsche Beispiele: 1. Erich Schmidt-Eenboom veröentliche 1994 als Publizist und Friedensforscher ein Buch über den BND. In den folgenden Monaten wurden er und seine Mitarbeiter vom BND ohne rechtliche Grundlage intensiv überwacht, um die Kontaktpersonen zu ermitteln. Ein Interview unter dem Titel Sie beschatteten mich sogar in der Sauna steht online: http://www.spiegel.de/politik/deutschland/0,1518,384374,00.html 2. Die
WASG
ist
laut
ozieller
feindliche
Organisation
Trotzdem
versuchte
tei
zu
inltrieren
der und
und
Einschätzung
steht
bayrische IMs
nicht
keine unter
verfassungsBeobachtung.
Verfassungsschutz
anzuwerben
(siehe
die
Par-
http://www.rote-
hilfe.de/news/spitzelangri_auf_die_wasg_jugend).
Diese
Praxis
erinnert mich sehr an Erlebnisse in der ehemaligen DDR. 3. Fahndung zur Abschreckung: In Vorbereitung des G8-Gipfels in Heiligendamm veranstaltete die Polizei am 9. Mai 2007 eine Groÿrazzia. Dabei wurden bei Globalisierungsgegnern Rechner, Server und Materialien beschlagnahmt. Die Infrastruktur zur Organisation der Proteste wurde geschädigt. Um die präventiven Maÿnahmen zu rechtfertigen wurden die Protestler als terroristische Vereinigung eingestuft. Auÿerdem sollten die Möglichkeiten zur vorbeugenden Haft vollinhaltlich ausgeschöpft werden. Wenige Tage nach der Aktion wurde ein Peilsender des BKA am Auto eines Protestlers gefunden. 4. Dr. Rolf Gössner ist Rechtsanwalt, Vizepräsident der Internationalen Liga für Menschenrechte, Mitherausgeber des Grundrechte-Reports, Vizepräsident und Jury-Mitglied bei den Big Brother Awards. Er wurde vom Verfassungsschutz 38 Jahre lang überwacht. Obwohl das Verwaltungsgericht Köln bereits urteilte, dass der Verfassungsschutz für den gesamten Bespitzelungszeitraum Einblick in die Akten gewähren muss, wird dieses Urteil mit Hilfe der Regierung ignoriert. Es werden Sicherheitsinteressen vorgeschoben!
Kapitel 3
Digitales Aikido Die folgende grobe Übersicht soll die Orientierung im Dschungel der nachfolgend beschriebenen Möglichkeiten etwas erleichtern.
• Einsteiger:
Datensammler nutzen verschiedene Möglichkeiten, Informa-
tionen über die Nutzer zu generieren. Die Wiedererkennung des Surfers bei der Nutzung verschiedener Dienste kann mit einfachen Mitteln erschwert werden. (Datensammler meiden und Alternativen nutzen, Cookies und JavaScript kontrollieren, Werbung ltern, SSL-verschlüsselte Verbindungen nutzen, E-Mail Client sicher kongurieren...)
• 1. Grad:
Persönliche Daten und Inhalte der Kommunikation werden
verschlüsselt. Das verwehrt unbefugten Dritten, Kenntnis von persönliche Daten zu erlangen. (Festplatte und Backups verschlüsseln mit Truecrypt, DM-Crypt oder FileVault, E-Mails verschlüsseln mit GnuPG oder S/MIME, Instant Messaging mit OTR...)
• 2. Grad:
Anhand der IP-Adresse ist ein Nutzer eindeutig identizier-
bar. Im Rahmen der Vorratsdatenspeicherung werden diese Daten für 6 Monate gespeichert. Mixkaskaden (JonDonym) oder Onion Router (Tor) bieten eine dem realen Leben vergleichbare Anonymität. Remailer bieten die Möglichkeit, den Absender einer E-Mail zu verschleiern.
• 3. Grad: Eine noch höhere Anonymität bietet das Invisible
Internet Pro-
jekt (I2P) oder das Freenet Projekt. Eine dezentrale und vollständig verschlüsselte Infrastruktur verbirgt die Inhalte der Kommunikation und wer welchen Dienst nutzt. Auch Anbieter von Informationen sind in diesen Netzen anonym. Die einzelnen Level bauen aufeinander auf ! Es macht wenig Sinn, die IP-Adresse zu verschleiern, wenn man anhand von Cookies eindeutig identizierbar ist. Auch die Versendung einer anonymen E-Mail ist in der Regel verschlüsselt sinnvoller.
33
Kapitel 4
Spurenarm Surfen Bild 4.1 zeigt ein Konzept für anonymes Surfen:
Abbildung 4.1: Konzept für anonymes Surfen
1. Die Nutzung datensammelnder Webangebote wird vermieden. 2. Die Annahme von Cookies und die Ausführung von JavaScript wird auf vertrauenswürdige Websites eingeschränkt. 3. Werbung und HTML-Wanzen werden durch Filter blockiert. 4. Verräterische Informationen werden entfernt oder manipuliert. 5. Der Datenverkehr kann über eine Mixkaskade oder das Onion-Router Netz geleitet werden, welche die Adresse des Surfers verschleiern. Die verschlüsselte Kommunikation verhindert auch die Auswertung des Internetverkehrs durch mitlesende Dritte. (siehe Anonym Surfen ) Mit diesen Maÿnahmen kann es vorkommen, dass Websites nicht wie erwartet funktionieren. Gute Webdesigner verzichteten auf suspekte Technologien, lediglich JavaScript wird sinnvoll eingesetzt und der Surfer darauf hingewiesen. Cookies können für Logins nötig sein. Schlechtes Webdesign nutzt aber auch den Referer, den User-Agent oder andere Techniken ohne den Surfer auf die notwendigen Freigaben hinzuweisen.
34
4.1.
DATENSPARSAME SUCHMASCHINEN
35
Hier ist man auf Probieren und Raten angewiesen, wenn eine Website nicht wie erwartet funktioniert. Man kann schrittweise die Annahme von Cookies freigeben, JavaScript aktivieren usw. Ob die Deaktivierung der Schutzmaÿnahmen die volle Funktionalität aufwiegt, muss man bei Bedarf selbst entscheiden.
4.1 Datensparsame Suchmaschinen Suchmaschinen werden sicher am häugsten genutzt, um sich im Web zu orientieren. Neben den bekannten Datensammlern wie Google, MSN oder Yahoo gibt es durchaus Alternativen. Wikipedia kann man auch ohne Umweg über Google direkt fragen, wenn man Informationen sucht, die in einer Enzyklopädie zu nden sind.
Suchmaschinen mit eigenem Index Es ist nicht einfach,eine Suchmaschine aufzubauen, die die Privatsphäre der Nutzer respektiert, einen umfangreichen Index zur Verfügung stellt und gute Ergebnisse liefert.
• Clusty.com
(http://clusty.com)
ist eine Suchmaschine, die auf die Erstellung von Prolen verzichtet. Zur Verbesserung der Treer ordnet Clusty.com die Treer nach Kategorien, die an der linken Seite angezeigt werden. Damit können die Anfragen einfach präzisiert werden.
• Cuil.com wird von Ex-Google Ingenieuren entwickelt. Sie wertet ebenfalls keine Informationen über die Nutzer aus und verfügt über einen groÿen Index. Die englischen Suchergbnisse sind gut. Scheinbar fehlt noch die Internationalisierung, deutsche Anfragen werden (im Moment) wenig brauchbar beantwortet.
Meta-Suchmaschinen Meta-Suchmaschinen leiten die die Suchanfrage an mehrere Suchdienste weiter. Sie sammeln die Ergebnisse ein und sortieren sie neu.
• Ixquick.com
(https://www.ixquick.com/deu/)
ist eine niederländische Meta-Suchmaschine, die keine IP-Adressen speichert und keine Prole der Nutzer generiert. Allerdings holt Ixquick die eingeblendete Werbung von Google und sendet als Dank die IP-Adresse des Surfers verschlüsselt an Google. Der Schlüssel wird nach 7 Tagen gewechselt.
• Metager2.de
ist ein Klassiker vom Suma e.V.
Peer-2-Peer Suchmaschine Yacy (http://www.yacy.net/) ist eine zensurresistente Peer-2-Peer Suchmaschine. Jeder kann sich am Aufbau des Index beteiligen und die Software auf seinem Rechner installieren. Der
36
KAPITEL 4.
SPURENARM SURFEN
Crawler ist in Java geschrieben, benötigt also eine Java-Runtime, die es für WINDOWS bei www.sun.com gibt. Aktuelle Versionen von Debian und Ubuntu installieren eine JRE mit folgendem Kommando:
# aptitude install openjdk-6-jre Nach dem Start von Yacy kann man im sich önenden Bowserfenster die Basiskonguration anpassen und los gehts. Die Suchseite ist im Browser unter http://localhost:8080 erreichbar.
Mit den Topwords unter den Ergebnissen bietet Yacy ein ähnliches Konzept wie Clusty.com, um die Suchanfrage zu präzisieren.
Für alle alternativen Suchmaschinen gilt, dass sie eine andere Sicht auf das Web bieten und die Ergebnisse sich von Google unterscheiden. Man sollte bei der Beurteilung der Ergebnisse beachten, dass auch Google nicht die reine Wahrheit bieten kann, sondern nur eine bestimmte Sicht auf das Web.
4.1.1 Firefox kongurieren Für viele Suchdienste gibt es Plug-Ins zur Integration in die Suchleiste von Firefox. Die Website http://mycroft.mozdev.org/ bietet ein Suchformular, mit dem man die passenden Plug-Ins nach Eingabe des Namens der Suchmaschine schnell ndet. Die Installation funktioniert nur, wenn JavaScript für diese Website freigegeben wurde.
Auÿerdem empfehlen wir, die Generierung von Suchvorschlägen zu deaktivieren. Die Vorschläge kommen von dem gewählten Suchdienst, verlangsamen aber die Reaktion auf Eingaben deutlich. Ich weiss selber, was ich suche! Den Dialog ndet man unter Schmaschinen verwalten in der Liste der Suchmaschinen.
Abbildung 4.2: Suchvorschläge deaktivieren
4.2.
37
COOKIES
4.2 Cookies Cookies werden für die Identizierung des Surfers genutzt. Neben der erwünschten Identizierung um personalisierte Inhalte zu nutzen, beispielsweise einen Web-Mail-Account oder um Einkäufe abzuwickeln, werden sie auch für das Tracking von Nutzern verwendet. Der Screenshot Bild 4.3 zeigt die Liste der Cookies, die bei einem einmaligen Aufruf der Seite www.spiegel.de gesetzt wurden. Neben den Cookies von
spiegel.de
zur
Zählung
der
Leser
setzen
gleich
drei
datensammelnde
Werbeserver Cookies (google.com, doubleclick.net, adition.com) und auÿerdem Zähldienste (quality-chanel.de, ivwbox.de), welche die Reichweiten von OnlinePublikationen auswerten.
Abbildung 4.3: Liste der Cookies beim Besuch von Spiegel-Online
Der Screenshot wurde im Jahr 2009 aufgenommen. Das Cookie co von adition.com möchte gern bis 2025 auf diesem PC bleiben! Auÿerdem speichert adition.com oensichtlich eine eindeutige UserID und die IP-Adresse in Cookies, um den Surfer beim Besuch von weiteren Websites wiederzuerkennen. Sinnvoll ist ein
Whitelisting für die Behandlung von Cookies:
1. Standardmäÿig wird die Annahme von Cookies verweigert.
38
KAPITEL 4.
SPURENARM SURFEN
2. Für vertrauenswürdige Websites, welche die Nutzung von Cookies zur Erreichung der vollen Funktion benötigen, werden Ausnahmen zugelassen. 3. Die für den Zugri auf personalisierte Inhalte gespeicherten Cookies sollten beim Schlieÿen des Browsers automatisch gelöscht werden. Einige Websites verwenden diese Cookies auch nach dem Logout für das User-Tracking.
Fast
alle
Login-Seiten,
welche
Cookies
zur
Identizierung
des
Surfers
verwenden, weisen mit einem kleinen Satz auf die notwendigen Freigaben hin. Treten beim Login seltsame Fehler auf, z.B. ständig die Fehlermeldung
FALSCHES PASSWORT, verweigert der Browser wahrscheinlich die Annahme von Cookies. Die Website sollte in die Liste der vertrauenswürdigen Websites aufgenommen werden. Hinweis: der Dienst ivwbox.de zählt mit Hilfe von Cookies die Seitenaufrufe von Online-Medien. Es werden ausschlieÿlich aggregierte Daten verarbeitet. Die Ergebnisse der Zählung sind die harte Währung der Verlage und Redaktionen in Verhandlungen mit der Werbewirtschaft. Wer die Finanzierung von OnlineAngeboten unterstützen möchte, sollte Cookies von ivwbox.de annehmen und eine Ausnahme im Browser kongurieren.
4.2.1 Mozilla Firefox kongurieren Mozilla Firefox bietet bereits standardmäÿig die Möglichkeit, die meisten Cookies ohne Einbuÿen am Surf-Erlebnis loszuwerden. Im Bild 4.4 gezeigte Dialog
Einstellungen Sektion Datenschutz
kann die Annahme von Fremd-Cookies
standardmäÿig deaktiviert werden. Mit einem Klick auf den Button Ausnahmen kann man Server kongurieren, die Cookies setzen dürfen oder grundsätzlich blockiert werden. Um von Google nicht beim Besuch der meisten deutschen Websites verfolgt zu werden, ist es nötig, diesen Dienst ausdrücklich zu blockieren. (Bild 4.5) Anderenfalls wird der Browser beim Start durch den Aufruf der Default-Seite oder beim Laden der Phishing-Datenbank mit einem Google-Cookie personalisiert. Durch eingebettet Werbung und Google-Analytics auf vielen Websites kann das Imperium Google unbedarfte Firefox-Nutzer eektiv beobachten.
Zusätzliche Plug-Ins für Firefox Zusätzlich gibt es mehrere Plug-Ins, welche die Festlegung von Restriktionen für die Behandlung von Cookies vereinfachen und damit die Sicherheit erhöhen:
• CookieSafe
für die komfortable Verwaltung von Cookies und Freigaben
für Websites. Es steht unter https://addons.mozilla.org/refox/2497/ zur Installation bereit.
• CookieCuller der Klassiker mit über 120.000 Downloads steht zum Download bereit unter https://addons.mozilla.org/refox/82/.
4.2.
COOKIES
39
Abbildung 4.4: Cookies-Einstellungen in Firefox
Ein einfacher Klick auf das Install-Symbol auf der Webseite startet den Download und installiert das Plug-In. Nach dem Neustart von Firefox ist in der Statusleiste ein zusätzliches Symbol vorhanden, z.B. ein kleiner Keks für CookieSafe. Ein Klick mit der linken(!) Maustaste önet das in Bild 4.6 dargestellte Menü. Als erstes sollte der Standard auf Cookies global verbieten gesetzt werden, um die Annahme von Cookies standardmäÿig zu verweigern. Im weiteren kann über dieses Menü für jede vertrauenswürdige Website die Annahme von Cookies erlaubt werden.
Aktzeptieren erlaubt es dem aktuellen Server, unbegrenzt gültige Cookies zu setzen. Diese Variante wird nur benötigt, wenn man bei einem späteren Besuch der Website automatisch wieder angemeldet werden möchte.
Aktzeptieren während Session erlaubt es dem aktuellen Server, jetzt und bei jedem erneutem Besuch der Website, Cookies zu setzen. Diese werden mit Schlieÿen des Browsers gelöscht.
Temporär aktzeptieren erlaubt es dem aktuellen Server, nur für diese Sitzung Cookies zu setzen. Mit dem Schlieÿen des Browsers werden die Cookies und die Ausnahmereglung gelöscht. Ein Klick mit der rechten(!) Maustaste auf das CookieSafe-Icon önet ein Menü, welches eine Konguration des Plug-In sowie die Verwaltung der gespeicherten Cookies und Ausnahmereglungen erlaubt.
40
KAPITEL 4.
SPURENARM SURFEN
Abbildung 4.5: Cookies von Google immer blockieren
Abbildung 4.6: CookieSafe Menü
4.2.2 Super-Cookies in Firefox Das Mozilla Team hat als erstes die Spezikation zur clientseitigen Speicherung von Daten des WHAT WG umgesetzt. Leider haben sie im Dialog Einstellun-
gen keine Möglichkeit zur Deaktivierung dieser unbeschränkt groÿen Cookies vorgesehen. Das Plug-In
BetterPrivacy ergänzt dieses Feature. Nach der Installation
kann man die Einstellungen unter Extras - BetterPrivacy
auf dem Reiter
Optionen anpassen. BetterPrivacy deaktiviert nicht nur die DOMStorage, es kann auch alle Flash-Cookies beseitigen. Es steht zum Download bereit unter https://addons.mozilla.org/de/refox/addon/6623. Alternativ kann man ganz ohne zusätzliche Plug-Ins, wie im Bild 4.7 gezeigt, unter der Adresse about:cong die Variable dom.storage.enabled auf false setzen.
4.2.3 Flash-Cookies verwalten Auch Flash-Applikationen können Cookies setzen, sogenannte Local Shared
Objects (LSO). Diese Datenkrümel können bis zu 100kByte Daten fassen und
4.3.
41
JAVASCRIPT
Abbildung 4.7: Clientseitige Datenspeicherung deaktivieren
ignorieren die Einstellungen des Browsers. Sie werden neben der Speicherung von Einstellungen auch zum Nutzertracking verwendet von Youtube, Ebay, Google... Am einfachsten verwaltet man die LSOs mit dem Plug-In
BetterPrivacy.
Es steht unter https://addons.mozilla.org/de/refox/addon/6623 zum Download bereit. Nach der Installation kann man die Einstellungen unter Extras -
BetterPrivacy wie im Bild 4.8 anpassen. Auÿerdem bieten die verschiedenen Flash-Player unterschiedliche Möglichkeiten, diese Datenspeicherung zu deaktivieren: 1. Wer den
Adobe Flash-Player nutzt, kann mit einer Flash Anwendung
auf der Webseite von Macromedia die Einstellungen für das Speichern und Auslesen von Informationen, Nutzung des Mikrofons, der Kamera usw. anpassen. http://www.macromedia.com/support/documentation/ de/ashplayer/help/settings_manager.html
2. Der freie Flash-Player
swfdec für Linux speichert keine Daten. Im Ge-
gensatz zu Gnash spielt der Player auch Youtube Videos problemlos ab. 3. Der freie Flash-Player
Gnash bietet die Möglichkeit, die Speicherung von
Cookies zu kongurieren. Man klickt mit der rechten Maustaste auf ein Flash-Movie und wählt den Punkt Bearbeiten - Einstellungen im Kontextmenü und schickt man alle Shared Objects nach /dev/null.
4.3 JavaScript JavaScript ist eine der Kerntechniken des modernen Internet, birgt aber auch einige Sicherheitsrisiken. Ein generelles Abschalten, wie es noch vor einigen
42
KAPITEL 4.
SPURENARM SURFEN
Abbildung 4.8: BetterPrivacy kongurieren
Jahren empfohlen wurde, ist heutzutage nicht sinnvoll. Ähnlich dem Cookie-Management benötigt man ein Whitelisting, welches JavaScript für vertrauenswürdige Websites zur Erreichung der vollen Funktionalität erlaubt, im allgemeinen jedoch deaktiviert.
4.3.1 NoScript für Mozilla Firefox Die Einstellungen für JavaScript lassen sich mit dem Plug-In NoScript komfortable verwalten. Das Plug-In kann von der Website der Firefox-Erweiterungen installiert werden: https://addons.mozilla.org/refox/722/ NoScript dient nicht nur der Steuerung von Javascript, es bieten umfangreichen Schutz gegen vielfältige Angrie aus dem Netz. (XSS-Angrie, Webbugs, Click-Hijacking....) Ein einfacher Klick auf das Download-Symbol startet die Installation. Im Anschluss ist Firefox neu zu starten. Nach dem Neustart von Firefox ist in der Statusleiste ein zusätzliches Symbol vorhanden, welches den Status der Freigabe von JavaScript anzeigt. Ein Klick auf das Symbol önet das im Bild 4.9 gezeigte Menü, welches
4.3.
JAVASCRIPT
43
Abbildung 4.9: NoScript-Button und Menü in der Statuszeile
JavaScript für die aktuelle Site generell oder temporär für die laufende Sitzung freigibt. Wählt man den Punkt Einstellungen im NoScript-Menü, önet sich der Einstellungsdialog (Bild 4.10), der auf dem Reiter Positivliste eine Liste der Websites zeigt, für welche Java-Script freigegeben wurde. Als Erstes sollte man aus der Positivliste alles entfernen, was man nicht wirklich braucht. In der Liste ndet man standardmäÿig mit googlesyndications auch einen Surf-Tracker. Auf dem Reiter Benachrichtigungen lässt sich beispielsweise kongurieren, ob NoScript den Surfer mit einem Sound oder mit einem Info-Balken darüber informiert, dass Scripte auf der aktuellen Webseite blockiert wurden. Der Sound nervt mich, diese Option habe ich deaktiviert. Wenn eine Webseite jedoch nicht wie erwartet funktioniert, kann die kurze Einblendung eines Info-Balkens hilfreich bei der Suche nach den Ursachen sein.
Abbildung 4.10: Einstellungen für NoScript
44
KAPITEL 4.
SPURENARM SURFEN
4.4 Werbung und HTML-Wanzen Die auf vielen Websites eingeblendete Werbung wird von wenigen Servern bereitgestellt. Diese nutzen häug die Möglichkeit, das Surfverhalten websiteübergreifend zu erfassen. Mit Hilfe von listen- und patternbasierten Filtern kann der Zugri auf Werbung unterbunden werden. Für den Browser Firefox gibt es die Adblock Plug-Ins, Nutzer anderer Browser können Content-Filter zum Blockieren von Werbung nutzen. Hinweis: viele Angebote im Web werden über Werbung nanziert, da die Nutzer meist nicht bereit sind, für diese Angebote zu bezahlen. Bei
HTML-Wanzen (sogenannten Webbugs) handelt es sich um 1x1-Pixel
groÿe transparente Bildchen, welche in den HTML-Code einer Webseite oder einer E-Mail eingebettet werden. Sie sind für den Nutzer unsichtbar und werden beim Betrachten einer Webseite oder beim Önen der E-Mail von einem externen Server geladen und ermöglichen es dem Betreiber des Servers, das Surfverhalten websiteübergreifend zu verfolgen. Webbugs kann man mit dem Plug-In NoScript blockieren. Hinweis: das System METIS (http://www.vgwort.de/metis.php) der VG Wort verwendet HTML-Wanzen, um die Besucher von Online-Angeboten zu zählen und anhand der Ergebnisse Tantiemen an deutsche Autoren auszuzahlen. Wer Autoren im Web unterstützen möchte, kann in NoScript den Server
vg04.met.vgwort.de als vertrauenswürdig denieren.
4.4.1 Adblock für Mozilla Firefox Für Mozilla Firefox steht mit Adblock Plus ein Plug-In für das Blockieren von Werbung zur Verfügung. Ein einfacher Klick auf das Install-Symbol der Website startet den Download der Erweiterungen und installiert sie. Download-Link: https://addons.mozilla.org/refox/1865 Nach dem Neustart ist mindestens eine Filterliste zu abonnieren. Weitere Filterlisten können im Einstellungsdialog unter dem Menüpunkt Extras->Adblock
Plus abboniert werden. Hier ist der Menüpunkt Filter->Abonnement hinzufügen zu wählen und aus der Liste der angebotenen Filter können regional passende Listen gewählt werden.
4.5 HTTP-Content ltern Neben der Verwendung von Cookies und JavaScript wird auch der Inhalt der HTTP-Header für die Gewinnung von Informationen über den Surfer genutzt.
•
Beispiel
Referer: Von welcher Seite kommt der Surfer? Die Schleimspur
im Internet, sehr gut geeignetet für das Tracking. Zwar sollte es belanglos sein, von welcher Seite der Surfer kommt, einige Websites werten den Referer jedoch aus.
4.5.
•
45
HTTP-CONTENT FILTERN
Beispiel
User-Agent: Die meisten Browser senden Informationen über
den verwendeten Browser und das Betriebssystem. Diese können manipuliert werden, um der Protokollierung und der Ausnutzung spezischer Sicherheitslücken entgegen zu wirken.
Ein Beispiel, welches zeigt, wie detailliert ein Browser Auskunft gibt:
Mozilla/5.0 (Macintosh; U; PPC Mac OS X; de-DE) AppleWebKit/419.3 (KHTML, like Gecko) Safari/419.3 •
Ergänzende Informationen wie zum Beispiel die bevorzugte Sprache, Zeichensätze und Dateitypen können einen individuellen Fingerprint des Browsers ergeben. Die Kombination dieser Werte sollte auf möglichst häug verwendete und nichtssagende Einstellungen gesetzt werden, beispielsweise auf das JonDoFox-Prol (für anonymes Surfen mit JAP) oder die Empfehlungen der TOR-Entwickler.
•
Beispiel
ETag aus dem Cache: Mit jeder aufgerufenen Webseite wird
ein ETag gesendet, welches der Browser im Cache speichert. Wird die Webseite erneut aufgerufen, sendet der Browser zuerst das ETag, um zu erfragen, ob die Seite sich geändert hat. Dieses Tag kann auch eine User-ID enthalten.
•
Beispiel
TCP-Timestamp:
Mit
jedem
TCP-Datenpaket
wird
ein
hochgenauer Zeitstempel vom eigenen Rechner gesendet. Geht die Uhr des
eigenen
Rechners
um
2,00321sec
falsch,
ist
man
anhand
dieser
Abweichung wiedererkennbar. Man sollte die Rechneruhr regelmäÿig mit verschiedenen Zeitservern synchronisieren, um im Rauschen minimaler Abweichungen zu bleiben.
Unter Linux kann das Senden der TCP-Timestamps mit folgendem Kommando unterbunden werden:
# echo 0 > /proc/sys/net/ipv4/tcp_timestamps Das Deaktivieren der TCP-Timestamps ist nach jedem Neustart zu wiederholen. Für Debian GNU/Linux und Ubuntu steht auf unserer Website ein Archiv zum Download bereit, welches ein Init-Script enthält, um diesen Schritt zu automatisieren. Das Script install.sh richtet nach dem Entpacken alles ein. (https://www.awxcnx.de/download/tcptimestamps_o.tar.gz)
4.5.1 Plug-Ins für Mozilla Firefox Es stehen mehrere Plug-Ins für diesen Browser zur Verfügung, welche jeweils eine kleine Aufgabe übernehmen. Nach der Installation ndet man meist unten in der Statuszeile ein neues Symbol.
• RefControl
modiziert den Referer. Spezische Einstellungen für einzel-
ne Webeiten sind möglich. Nach der Installation des Plug-Ins sollte im Dialog Optionen der Standard eingestellt werden:
46
KAPITEL 4.
SPURENARM SURFEN
1. Ersetzen setzt den Referer immer auf die Basisadresse der Domain. Das kann bei einigen Sites zu Problemen führen, ist nicht immer plausibel aber erschwert das Tracking innerhalb der Site. 2. Blockieren (nur beim Wechsel) liefert einen plausiblen Referer, solange man innerhalb einer Domain bleibt, entfernt ihn beim Wechsel der Domain. Die Schleimspur wird unterbrochen ohne Funktionen von Websites einzuschränken.
Abbildung 4.11: Einstellungen von RefControl
Das Plug-In liegt bereit unter: https://addons.mozilla.org/refox/953/
• User Agent Switcher sers.
Das
Plug-In
modiziert die User-Agent Kennung des Brow-
steht
unter:
https://addons.mozilla.org/refox/59/
bereit. Die Konguration kann nach der Installation angepaÿt werden.
Statt ständig mit dem User Agent Switcher zu hantieren, kann man diese Information auch unter der Adresse about:cong überschreiben. Es ist eine neue String-Variable general.useragent.override mit der Kennung eines beliebigen, häug verwendeten Browsers anzulegen.
Empfehlung der Tor-Entwickler: Mozilla/5.0
(Windows;
U;
Windows
NT
5.1;
en-US;
rv:1.9.0.7)
Gecko/2009021910 Firefox/3.0.7
JonDoFox-Prol: Mozilla/5.0 (en-US; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2
•
Die
bevorzugte Sprache, Zeichensätze und Dateitypen können
in der erweiterten Konguration von Firefox angepasst werden. In der Adresszeile ist die Adresse about:cong einzugeben. Hier können einige Variablen angepasst werden.
Das Torproject empehlt die Verwendung häug auftretender Kombinationen des Firefox für WINDOWS:
4.6.
47
SECURITY PLUG-INS
intl.charset.default intl.accept_charsets intl.accept_languages general.useragent.override
iso-8859-1 *,utf-8 en-us, en siehe oben
JonDos empehlt eine Variante, die möglichst wenig Informationen über die verwendete Software preisgibt. Dieses Prol sollte nur für anonymes Surfen mit JonDo genutzt werden, sonst ist man als Unikum leicht erkennbar:
intl.charset.default intl.accept_charsets intl.accept_languages network.http.accept.default general.useragent.override • Cache löschen:
utf-8 * en */* siehe oben
Der Einstellungsdialog von Firefox bietet in der Sek-
tion Datenschutz die Option, private Daten beim Beenden zu löschen. Welche Daten beim Beenden gelöscht werden sollen, kann in den Einstellungen zu dieser Option detailliert angegeben werden. Während des Surfens können diese privaten Daten auch mit der Tastenkombination <Strg><Shift><Entf> gelöscht werden.
Abbildung 4.12: Einstellungen zum Löschen privater Daten
4.6 Security Plug-Ins Ein paar kleine Erweiterungen für Firefox, welche die Sicherheit bei der Nutzung des Browsers jedoch deutlich erhöhen können:
• Firekeeper
ist ein nettes Plug-In, welches Websites mit bekannten
Angrismustern blockiert. Einfach installieren - fertig. Sollte jeder User auf seinem Rechner haben, es stört nicht und erhöht die Sicherheit. Es steht bereit unter: http://rekeeper.mozdev.org
48
KAPITEL 4.
SPURENARM SURFEN
Nach der Installation kann man die Optionen wie im Bild 4.13 gezeigt wählen und muss keinen weiteren Gedanken daran verwenden.
Abbildung 4.13: Optionen für Firekeeper
• SSL-Blacklist
ist ein Plug-In, welches vor Websites mit unsicheren SSL-
Zertikaten warnt. Diese unsicheren SSL-Zertikate wurden aufgrund eines Fehlers in der openssl-Version von Debian GNU/Linux generiert oder verwenden angreifbare MD5-Signaturen in der Signaturkette. Es steht bereit unter: http://www.codefromthe70s.org/sslblacklist.aspx
Auÿerdem sollte man die unter der Adresse about:cong die Variable
browser.identity.ssl_domain_display auf den Wert 1 setzen, um eine verbesserte und fälschungssichere Darstellung von SSL-Verbindungen in der Adresszeile zu aktivieren:
• PwdHash Jeder kennt das Problem mit den Passwörtern. Es sollen starke Passwörter sein, sie sollen für jede Site unterschiedlich sein und auÿerdem muss man sich das Alles auch noch merken. Das Plug-In PwdHash vereinfacht den Umgang mit Passwörtern. Wenn man vor der Eingabe des Passwortes die Taste F2 drückt oder mit einem doppelten @@ beginnt, wird es umgerechnet und ein Hash aus dem Master Passwort und der Domain berechnet. Das Ergebnis der Berechnung wird als Passwort gesendet.
Unter https://addons.mozilla.org/de/refox/addon/1033 steht das PlugIn zur Installation bereit.
Damit ist es möglich, ein einfach zu merkendes Master Passwort für alle Sites zu nutzen, bei denen PwdHash funktioniert. Wichtig ist, dass die Domains der Webseiten für die Änderung und Eingabe der Passwörter identisch sind.
PwdHash
schützt
damit
auch
vor
Phishing
Attacken.
Da
die
Seite
des Phishers von einer anderen Domain geliefert wird, als die originale Website, wird ein falscher Hash generiert, der für den Angreifer wertlos ist.
Sollte man unterwegs auf einem Rechner das Plug-In nicht installiert haben, ist das Login-Passwort natürlich nicht zu erraten. Auf der Website
4.6.
SECURITY PLUG-INS
49
des Projektes https://www.pwdhash.com steht der Algorithmus auch als Javascript Applet zur Verfügung. Man kann sein Master Passwort und die Domain eingeben und erhält das generierte Login Passwort. Das kann man mit Copy & Paste in das Passwort Eingabefeld übernehmen.
Kapitel 5
Umgang mit Zensur Die Zensur (Neusprech: Access-Blocking) wird in Deutschland im Namen des Kampfes gegen Kinderpornograe im Internet eingeführt. Frau von der Leyen wird nicht müde zu behaupten, es gäbe einen Millionen Euro schweren Massenmarkt,
der
durch
Sperren
von
Websites
empndlich
ausgetrocknet
werden kann. Ihre Aussagen wurden überprüft und für falsch befunden, siehe http://blog.odem.org/2009/05/quellenanalyse.html Die Ermittler vom LKA München sind der Meinung, dass bei der Verbreitung von Kinderpornographie Geld kaum eine Rolle spielt. Es gibt selten organisierte Strukturen:
Die überwältigende Mehrzahl der Feststellungen, die wir machen, sind kostenlose Tauschringe, oder Ringe, bei denen man gegen ein relativ geringes Entgelt Mitglied wird, wo also nicht das kommerzielle Gewinnstreben im Vordergrund steht. Von einer Kinderpornoindustrie zu sprechen, wäre insofern für die Masse der Feststellungen nicht richtig. (Quelle: Süddeutsche Zeitung) Ermittler des LKA Niedersachsen bestätigten gegenüber Journalisten der Zeitschrift ct die Ansicht, dass es keinen Massenmarkt von Websites im Internet gibt. Die sogenannte harte Ware wird nach ihrer Einschätzung überwiegend per Post versendet. Das Internet (vor allem E-Mail) wird nur genutzt, um Kontakte anzubahnen. Kann es sein, dass diese Erkenntnisse der Strafverfolger in der Regierung nicht bekannt sind? In der Antwort auf eine parlamentarische Anfrage beweist die Regierung ebenfalls ein hohes an Unkenntnis zu dem Thema: Frage: In welchen Ländern steht Kinderpornographie bislang nicht unter Strafe? Antwort: Dazu liegen der Bundesregierung keine gesicherten Kennt-
nisse im Sinne rechtsvergleichender Studien vor.
Frage:
Über
welche
Bundesregierung
im
wissenschaftlichen Zusammenhang
50
Erkenntnisse
mit
der
verfügt
Verbreitung
die von
51
Kinderpornographie. Antwort: Die Bundesregierung verfügt über keine eigenen wissen-
schaftlichen Erkenntnisse...
Frage: Auf welche Datengrundage stützt sich die Bundesregierung bei der Einschätzung des kommerziellen Marktes für Kinderpornographie in Deutschland? Antwort: Die Bundesregierung verfügt über keine detaillierte Ein-
schätzung des kommerziellen Marktes für Kinderporngraphie...
http://blog.odem.org/2009/06/11/2009-06-11-anfrage-sperren.pdf Und basierend auf diesem Nicht-Wissen wird....
Die erste Stufe Am 17.04.09 unterzeichneten die fünf Provider Deutsche Telekom, Vodafone/Arcor, Hansenet/Alice, Telefonica/O2 und Kabel Deutschland freiwillig einen geheimen Vertrag mit dem BKA. Dieser Vertrag verpichtet die Provider, eine Liste von Websites (bzw. Domains) umgehend zu sperren, die das BKA ohne rechtstaatliche Kontrolle zusammenstellt. Statt der gesperrten Website soll ein Stopp-Schild angezeigt werden. Soweit bekannt geworden ist, soll die Sperrung soll durch eine Kompromittierung des DNS-Systems umgesetzt werden und relativ einfach zu umgehen sein. Neben anderen Aktivisten stellt auch die GPF unzensierte DNS-Server und Anleitungen bereit. Wir bezweifeln, dass die Sperren einfach zu umgehen sein werden! Der gesetz auf
Vertrag
den
lichen Jahr, zen. Heise
BKA-Provider
zugänglich. Schutz
Sicherheit um
Es
die
im
müsse
Das
ist
nicht
lehnt
eine
geistigen
Eigentums
ab.
Telekom
Die
Vertrag
die
berichtete:
BKA
Software
auf
dem
Informationsfreiheits-
Einsichtnahme
und
und
geforderten
nach die
Vodafon
technischen
hunderten
unter
Gefährdung benötigen
öent-
ein
halbes
Bedingungen
Servern
Berufung
der
modiziert
umzusetwerden.
http://www.heise.de/newsticker/meldung/136792
und
http://www.heise.de/newsticker/meldung/140525. Die Manipulation des DNS-Systems funktioniert bereits, das kann man an der Umlenkung auf Werbeseiten bei nicht bekannten Domans sehen. Vodafon leitet seit Juli 09 im UMTS-Netz DNS-Anfragen auf die eigenen, zensierten DNS-Server um.
Die zweite Stufe Am 18.06.09 hat der Deutsche Bundestag ein Gesetz zur Bekämpfung der
Kinderpornograe in Kommunikationsnetzen verabschiedet. Das Gesetz ist technikoen formuliert. Neben den (ungeeigneten) DNS-Sperren sollen auch
52
KAPITEL 5.
UMGANG MIT ZENSUR
tiefere Eingrie in die Kommunikation zulässig und angemessen sein. Diskutiert werden IP-Adress-Sperren, kombiniert mit einer genauen Analyse des Datenverkehrs. Das Gesetz zwingt Provider mit mehr als 10.000 Kunden dazu, die im Geheimen vom BKA erstellten Sperrlisten umzusetzen und bei Aufruf einer entsprechenden Website eine Stopp-Seite anzeigen. Die Sperrliste soll durch ein zahnloses Experten-Gemium eingesehen werden können. Diese Experten soll der Bundesdatenschutzbeauftragtem berufen. Eine Begrenzung der Sperrmaÿnahmen auf kinderpornograsche Angebote auÿerhalb der Möglichkeit der Strafverfolgung ist nicht vorgesehen. Es wurde bereits im Vorfeld die Ausweitung der Internetsperren von verschiedenen Politikern gefordert. Die Aussage von Herrn Bosbach (CDU) ist eigentlich an Eindeutigkeit nicht zu überbieten:
Ich halte es für richtig, sich
erstmal nur mit dem Thema Kin-
derpornograe zu befassen, damit die öentliche Debatte nicht in eine Schieage gerät. Eine konsequente Umsetzung des Subsidaritätsprinzips Löschen vor Sperren ist im Gesetz ebenfalls nicht vorgesehen. Es soll der Einschätzung des BKA überlassen bleiben, ob zu erwarten ist, dass der Provider ein indexiertes Angebot in angemessener Zeit vom Netz nimmt oder eine Internet-Sperre eingerichtet wird. Es besteht keine Verpichtung für das BKA, die Provider zu kontaktieren und um Löschung der Angebote zu bitten.
Die Zensur erfolgt auf vielen Ebenen Die Einführung der Zensur umfasst nicht nur eektive technische Sperrmaÿnahmen. Sie wird auch durch juristische Schritte begleitet. Einige Beispiele:
•
Das Forum Politik global sollte auf Betreiben des LKA Berlin im Mai 2009 wegen Volksverhetzung geschlossen werden. Das AG Tiergarten in Berlin hat der Klage stattgegeben. Das Urteil des AG Tiergarten ist uns nicht im Wortlaut bekannt. Auf der Website haben wir aber keine Nazi-Propaganda gefunden sondern Israel- und NATO-kritische Themen sowie Hinweise auf Missstände in Deutschland und International.
Die Domain wurde gelöscht. Da helfen keine unzensierten DNS-Server.
Die Webseite ist weiterhin unter der IP-Adresse http://89.108.92.69 erreichbar, da der Server nicht in Deutschland steht. Es bleibt abzuwarten, ob diese Möglichkeit in Kürze nicht auch geschlossen wird. Sollte das Forum in Zukunft nur noch über ausländische Proxy-Server oder Anonymisierungsdienste wie Tor oder JonDonym erreichbar sein, wird der Leserkreis sicher kleiner werden.
•
Am 21. Mai 2009 veröentlichte Spiegel-Online einen Artikel über Bestechung von Politikern durch den Telekom Konzern. Dr. Klemens Joos sowie die EUTOP International GmbH wurden in dem Artikel genannt
5.1.
53
STRAFVERFOLGUNG VON KINDERPORNOGRAFIE
und schickten ihre Anwälte los, um den Artikel zu entfernen. Sie sahen ihre Rechte in erheblicher Weise beeinträchtigt. (Der Artikel steht auf Wikileaks weiterhin zum Download zur Verfügung.)
•
Das Suchmaschinen ihre Links zensieren ist seit längerem bekannt. Die bei Wikileaks aufgetauchte Sperrliste des ehemaligen Suchdienstes Lycos ist interesant.
Es wurden die Stadtwerke Hameln nicht in den Treerlisten angezeigt, weil die groÿen Energiekonzerne etwas dagegen hatten, die Maa des Adresshandel wollte nicht, das www.adressbuchbetrug-info.net gefunden wird, Foren in denen man Entlassungen diskutierte, wurden nicht angezeigt... Diese Beispiele zeigen, dass die Umgehung von Zensur oft Kreativität erfordert.
5.1 Strafverfolgung von Kinderpornograe Während die Einführung von Internet-Sperren für die derzeitige Regierung ein
in
vielerlei Hinsicht wichtiges Thema ist
, (v. Guttenberg), scheint die Ver-
folgung der Anbieter eher niedrige Priorität zu genieÿen.
Wo stehen die Server? Im
scusiblog
https://scusiblog.org
ndet
man
Analysen
zu
verschiedenen
europäischen Filterlisten. In der Länderwertung belegt Deutschland stets einen beachtlichen 4.-5. Platz. Nahezu alle Provider unterstützen Maÿnahmen gegen Kinderpornos. Es genügt ein Anruf, um das Angebot innerhalb weniger Stunden zu schlieÿen. Auch die bei regierungskritischen Themen als bullet proof geltenden Hoster wie z.B. MediaOn und noblogs.org kennen bei KiPo kein Pardon. Wenn das BKA kinderpornograsche Websites kennt, die auf eine Sperrliste gesetzt werden sollen, warum werden die Seiten nicht abgeschaltet und die Betreiber zur Verantwortung gezogen? Eine internatione Zusammenarbeit sollte bei dem Thema kein Problem sein.
Der lange Dienstweg des BKA In einer Studie der Univerität Cambridge wurde untersucht, wie lange es dauert, um strafrechtlich relevante Websites zu schlieÿen. Phishing-Websites werden innerhalb von 4 Stunden geschlossen. Bei Websites mit dokumentierten Kindesmissbrauch dauert es im Mittel 30 Tage! Frau Krogmann (CDU) antwortete auf eine Frage bei abgeordnetenwatch.de, dass das BKA kinderpornograsche Websites nicht schneller schlieÿen kann, weil
der Dienstweg eingehalten werden muss.
Noch mal ganz langsam:
54
KAPITEL 5.
UMGANG MIT ZENSUR
1. Weil das BKA den Dienstweg einhalten muss, können Websites mit dokumentierten Kindesmissbrauch nicht kurzfristig geschlossen werden? 2. Das mit dem Gesetz zur Einführung von Internet-Sperren rechtsstaatliche Prinzipien verletzt und Grundrechte eingeschränkt werden sollen (Grundgesetz Artikel 5 und 10), ist nebensächlich, wenn auch nur einem Kind damit geholfen werden kann?
Das Gutachten des Wissenschaftlichen Dienstes des Bundestages (WD 3 3000 - 211/09) zeigt, dass das BKA auch ohne Zensur wesentlich mehr gegen dokumentierten Kindesmissbrauch tun könnte. Wie frustrierend dieser lange Dienstweg und die mangelhafte Unterstützung der Strafverfolger sind, zeigt Oberstaatsanwalt Peter Vogt. Die Suedeutsche Zeitung bezeichnet ihn als Pionier der Strafverfolgung von Kinderpornograe. Ab Jan. 2010 steht Herr Vogt für diese Aufgabe nicht mehr zur Verfügung. Er hat wegen unhaltbarer Zustände in den Polizeidirektionen das Handtuch geworfen.
Die Internet-Sperren sind kontraproduktiv Die geplanten Sperren von Websites mit Anzeige einer Stopp-Seite sind für die konsequente Verfolgung der Straftaten kontraproduktiv. Mit der Anzeige der Stopp-Seite sollen die Daten des Surfers an das BKA zwecks Einleitung der Strafverfolgung übermittelt werden. Gleichzeitig wird der Konsument kinderpornograschen Materials jedoch gewarnt und kann alle Spuren beseitigen. Ohne Nachweis der Straftat ist eine rechtsstaatliche Verurteilung jedoch nicht möglich. Ist man an einer eektiven Strafverfolgung nicht interessiert?
Kinderbordell Jasmin Bis Mitte der 90ziger Jahre gab es in Leipzig das Kinderbordell Jasmin. Dabei handelt es sich um einen zentralen Punkt im sogenannten Sachsensumpf. 13-19jährige Mädchen mussten den Freiern für sexuelle Dienstleistungen zur Verfügung stehen. Die juristische Aufarbeitung der Vorgänge ist ein krasses Beispiel für mangelhafte Strafverfolgung. Acht Frauen, die als junge Mädchen im Kinderbordell gegen ihren Willen sexuell benutzt wurden, haben auf vorgelegten Fotos einige Stammkunden identiziert: Oberstaatsanwalt Norbert R., Richter a.D. Jürgen N., Richter Günter S. und weitere angesehene Persönlichkeiten. Gegen die mutmaÿlichen Freier, die sich mehrfach an Minderjährigen vergangen haben, werden keine(!) Ermittlungen geführt. Der Fall ist abgeschlossen. Micheal W. (Chef des Jasmin) wurde von Richter Jürgen N. (der von Zeugen als Stammkunde Ingo bezeichnet wurde) zu einer lächerlich niedrigen Strafe
5.2.
DIE MEDIEN-KAMPAGNE DER ZENSURSULA
55
verurteilt, obwohl Micheal W. auch Vergewaltigung Minderjähriger nachgewiesen werden konnte. Sieben der acht Frauen haben ihre Zeugenaussagen zurückgezogen und lehnen eine weitere Zusammenarbeit zur Aufklärung ab. Nur eine Frau hält ihre Aussagen trotz Drohungen aufrecht. Inzwischen läuft ein Verfahren wegen Verleumdung gegen sie. Dabei wurden ihre Aussagen nicht überprüft, sondern es wird eine einfach mathematische Rechnung aufgemacht: 7x keine Aussage gegen 1x Behauptung: das muss falsch sein. Schlieÿlich handelt es sich um hochangesehene Persönlichkeiten. Online-Quellen: http://www.zeit.de/online/2008/27/sachsensumpf-jasmin http://www.tagesspiegel.de/politik/deutschland/Korruptionsaaere;art122,2334975 http://www.taz.de/1/politik/deutschland/artikel/1/zeugin-belastet-justiz/
5.2 Die Medien-Kampagne der Zensursula Der Gesetzgebungsprozess wird von einer breiten Medien-Kampagne begleitet. Die Gegner der Zensur werden direkt und indirekt als Pädophile oder deren Helfer verunglimpft, es wird ein Gegensatz von Meinungsfreiheit im Internet versus Schutz der Kinder konstruiert und es wird viel mit falschen Zahlen, unwahren Behauptungen und suggestiven Umfragen argumentiert. In den Mainstream-Medien wird die Argumentation der Befürworter der Zensur prominent und ohne kritische Nachfrage wiedergegeben. Einige Beispiele:
Es macht mich schon sehr betroen, wenn pauschal der Eindruck entstehen sollte, dass es Menschen gibt, die sich gegen die Sperrung von kinderpornographischen Inhalten sträuben. (v.Guttenberg) Lassen Datenschützer und Internet-Freaks sich vor den Karren der Händler und Freunde von Kinderpornograe spannen? Diese Frage muss sich nicht nur Franziska Heine stellen. (Teaser der Zeitschrift Emma)
Wir können es doch als Gesellschaft nicht hinnehmen, das - so wie es die Piratenpartei fordert- Jugendliche und Erwachsene ungehindert Zugang zu Kinderpornos im Internet haben können... (S. Raabe, SPD) Das Motto der Gegner der Zensur im Internet lautet Löschen statt Sperren. Das steht auch deutlich in der von Franziska Heine initiierten Petition und wurde auf dem Piraten-Parteitag ebenfalls deutlich gesagt.
Wir vermissen die Unterstützung der Internet Community, die uns sagt, wie wir dem wachsenden Problem der Kinderpornograe Herr werden können. Diese Stimmen sind bisher kaum zu hören. (v.d.Leyen)
56
KAPITEL 5.
UMGANG MIT ZENSUR
Heinrich Weng, der uns schon öfter aufgefallen ist, sinniert in der Zeit :
Nun könnte man die lärmende Ablehnung jeder staatlichen Regulierung vielleicht sogar als romatische Utopie belächeln, wenn die Ideologen der Freiheit gelegentlich mal selbst einen Gedanken darauf verwenden würden, wie sich der Missbrauch des Mediums eindämmen lieÿe. Die Nerds vom AK Zensur haben nicht nur Hinweise gegeben, sie haben es auch
Innerhalb von 12 Stunden wurden 60 kinderpornographische Internet-Angebote gelöscht (ganz ohne polizeiliche Vollmacht). Was vorgemacht.
wird noch erwartet. Sollen wir die Dienstanweisung für das BKA formulieren? Ein Gutachten des Wissenschaftlichen Dienstes des Bundestages zeigt, dass das BKA diesem Beispiel folgen könnte.
Die bittere Wahrheit ist, dass bisher nur die Hälfte der Länder Kinderpornographie ächtet. (v.d.Leyen) Auf der Konferenz zum Schutz vor sexueller Gewalt gegen Kinder und Jugend-
liche mit Fokus auf neue Medien behauptet v.d.Leyen: Nur rund 160 Staaten haben überhaupt eine Gesetzgebung gegen die Vergewaltigung von Kindern, die von den Tätern aufgenommen und übers Netz verbreitet wird. 95 Nationen hätten keine solche Gesetze. Netzpolitik.org hat sich diese Zahlen genauer angesehen. 193 Staaten haben die UN-Konvention zum Schutz der Kinder ratiziert und in geltendes Recht umgesetzt. Artikel 34 deniert den Schutz vor sexuellem Missbrauch. Von den 95 Nationen, die lt. v.d.Leyen keine Gesetze gegen Missbrauch Minderjähriger haben sollen, verbieten 71 Pornograe generell. Das schlieÿt dokumentiert Missbrauch ein. Weitere benden sich im Bürgerkrieg oder in einem verfassungsgebenden Prozess nach einem Krieg. Der Rest hat keine nenneswerte Infrastruktur, um Webserver zu betreiben.
Wer
die
Stoppseite
zu
umgehen
versucht,
macht
sich
be-
wusst strafbar, weil er dann aktiv nach Kinderpornograe sucht. (v.d.Leyen) Moment mal - es war im III. Reich verboten, Feindsender zu hören. Einen vergleichbaren Paragraphen sucht man im Strafgesetzbuch vergeblich. Es steht jedem Nutzer frei, vertrauenswürdige Internet-Server zu nutzen.
5.3.
57
SIMPLE TRICKS
5.3 Simple Tricks Die Simple Tricks wurden bereits an der Great Firewall in China erprobt und sind teilweise recht erfolgreich. Das einfache Prinzip ist im Bild 5.1 dargestellt.
Abbildung 5.1: Prinzip der Simple Tricks
Wenn man auf eine Website nicht zugreifen kann (oder man befürchtet, nicht zugreifen zu können) kann man ein Webdienst im Ausland nutzen. Der Webdienst unterliegt anderen Zensurbedingungen und kann häug auf die gewünschte Seite zugreifen und über den kleinen Umweg unzensiert liefern.
Hinweis:
Es
ist
ratsam,
Web-Services
zu
nutzen,
die
eine
SSL-Verschlüsselung des Datenverkehrs anbieten. Wer Anonymisierungsdienst wie Tor oder JonDonym nutzen kann, sollte diese Möglichkeit bevorzugen. Einige Vorschläge für Webdienste: 1.
RSS-Aggregatoren: sind geeignet, um regelmäÿig eine Website zu lesen, die RSS-Feeds anbietet, bspw. Blogs. Man kann sich selbst seine Feeds auf einem Web-Aggregator wie www.bloglines.com zusammenstellen oder nutzt fertig, themenspezische Aggregatoren wie z.B. den Palestine Blog Aggregator über den Gaza-Krieg.
2.
SSL-Web-Proxies bieten ein Formular für die Eingabe einer URL. Die Website wird von dem Proxy geholt und an den Surfer geliefert. Dabei werden alle Links der Webseite vom Proxy umgeschrieben, so dass bei einem Klick die folgende Website ebenfalls über den Proxy geholt wird. Flüssiges Surfen ist möglich. Eine Liste von Web-Proxies mit SSL-Verschlüsselung ndet man auf http://proxy.org oder http://www.mamproxy.com.
3.
Übersetzungsdienste: Man fordert bei einem Web-Translater die Übersetzung
einer
Website
von
einer
willkürlichen
Sprache
(z.B.
korea-
nisch) in die Orginalsprache des Dokumentes an. Der Web-Translater ändert praktisch nichts. Man könnte http://babelsh.yahoo.com oder http://translate.google.com nutzen. 4.
Low-Bandwidth-Filter: bereiten Websites für Internetzugänge mit geringer Bandbreite auf. Sie entfernen Werbung, reduzieren die Auösung von Bildern usw. und senden die bearbeitete Website an den Surfen. Man kann sie auch mit High-Speed-DSL nutzen. Steht ein solcher Server im
58
KAPITEL 5.
UMGANG MIT ZENSUR
Ausland, hat er häug die Möglichkeit, die gewünschte Seite zu liefern, z.B. http://loband.org. 5.
Cache der Suchmaschinen: Die groÿen Suchmaschinen indexieren Webseiten nicht nur, sie speichern die Seiten auch in einem Cache. Da man Google, Yahoo usw. fast immer erreichen kann: einfach auf den unscheinbaren Link cache neben dem Suchergebnis klicken.
6.
E-Mail Dienste: sind etwas umständlicher nutzbar. Sie stellen die gewünschte Website per Mail zu. Ein Surfen über mehrere Seiten ist damit natürlich nicht möglich. SIe sind aber gut geeignet, unaufällig einen Blick auf eine gesperrte Website zu werfen. Dem E-Mail Dienst pagegetter.com kann man eine Mail mit der gewünschten URL der Website im Betre senden und man erhält umgehend eine Antwort-Mail mit der Website. Der Dienst bietet folgende Adresse:
•
web(ÄT)pagegetter.com für einfache Webseiten.
•
frames(ÄT)pagegetter.com für Webseiten die aus mehreren Framen bestehen.
•
HTML(ÄT)pagegetter.com liefert die Webseite ohne grasche Elemente aus.
5.4.
59
UNZENSIERTE DNS-SERVER
5.4 Unzensierte DNS-Server
Am 17.04.09 unterzeichneten diese Provider einen geheimen Vertrag mit dem BKA, in welchem sie sich verpichten, eine vom BKA bereitsgestellte Liste von Websites durch Kompromittierung des DNS-Systems zu sperren. Bevor man als Kunde dieser Provider ernsthaft über die Nutzung alternativer DNS-Server nachdenkt, sollte man die Möglichkeit eines
Provider-Wechsels
prüfen. Das hat folgende Vorteile: 1. Man unterstützt Provider, die sich gegen die Einschränkung der Grundrechte wehren, und übt Druck auf die Zensur-Provider aus. 2. Es ist die einzige, wirklich sichere Lösung, unzensierte DNS-Server zu nutzen. Vodafone leitet bereits seit Juli 09 im UMTS-Netz DNS-Anfragen auf die eigenen, zensierten Server um. Andere werden diesem Beispiel folgen. Die
deutschen
Provider
Manitu
(http://www.manitu.de)
und
SNAFU
(http://www.snafu.de) lehnen die Sperren ab und werden sie auch nicht umsetzen. SNAFU bietet seinen Kunden an, via Webinterface alternative, unzensierte DNS-Server für den eigenen Account zu kongurieren. Damit entfallen die im folgenden beschrieben Spielereien am privaten Rechner und man hat mit Sicherheit einen unzensierten Zugang zum Web.
Was ist ein DNS-Server 1. Der Surfer gibt den Namen einer Website in der Adressleiste des Browsers ein. (z.B. https://www.awxcnx.de ) 2. Daraufhin fragt der Browser bei einem DNS-Server nach der IP-Adresse des Webservers, der die gewünschte Seite liefern kann. 3. Der DNS-Server sendet eine Antwort, wenn er einen passenden Eintrag ndet. (z.B. 85.25.141.60 ) oder NIXDOMAIN, wenn man sich vertippt hat.
60
KAPITEL 5.
UMGANG MIT ZENSUR
4. Dann sendet der Browser seine Anfrage an den entsprechenden Webserver und erhält als Antwort die gewünschte Website.
Ein kompromittierter DNS-Server sendet bei Anfrage nach einer indexierten Website nicht die korrekte IP-Adresse des Webservers an den Browser, sondern eine manipulierte IP-Adresse, welche den Surfer zu einer Stop-Seite führen soll. Die Anzeige der Stop-Seite bietet die Möglichkeit, die IP-Adresse des Surfers zusammen mit der gewünschten, aber nicht angezeigten Webseite zu loggen. Mit den Daten der Vorratsdatenspeicherung könnte diese Information personalisiert werden. (Diese Darstellung ist sehr vereinfacht, sie soll nur das Prinzip zeigen. Praktische Versuche, das DNS-System zu manipulieren, haben meist zu komplexen Problemen geführt.)
Nicht-kompromittierte DNS-Server Statt der kompromittierten DNS-Server der Provider kann man sehr einfach unzensierte Server nutzen. Die GPF betreibt einige unzensierte DNS-Server. Unsere DNS-Server können auch auf Port 110 angefragt werden, falls einige Provider den DNS-Trac auf Port 53 zum eigenen Server umleiten.
•
87.118.100.175 (Port: 53, 110)
•
85.25.251.254 (Port: 53, 110)
•
62.141.58.13 (Port: 53, 110)
•
87.118.104.203 (Port: 53, 110)
Auch die DNS-Server von Seppel können auf Port 110 angefragt werden:
•
85.25.149.144 (Port: 53, 110)
•
87.106.37.196 (Port: 53, 110)
Der FoeBud bietet einen unzensierten DNS-Server:
•
85.214.73.63
Und der CCC hat natürlich auch einen Unzensierten:
•
213.73.91.35
Bei ValiDOM gibt es zwei weitere DNS-Server:
•
78.46.89.147
•
88.198.75.145
5.4.
61
UNZENSIERTE DNS-SERVER
Abbildung 5.2: Konguration der DNS-Server (WINDOWS)
5.4.1 WINDOWS kongurieren Unter WINDOWS konguriert man die DNS-Server in den Einstellungen der Inernetverbindungen. In der Systemsteuerung
ist die Liste der Netz-
werkverbindungen zu önen. Ein Klick mit der rechten Maustaste önet das Kontext-Menü, wo man den Eintrag Eigenschaften wählt. Der in Bild 5.2 gezeigte Dialog önet sich. Hier wählt man die TCP-Verbindung und klickt auf Eigenschaften. In dem folgenden Dialog kann man eigene DNS-Server kongurieren.
5.4.2 Linux kongurieren Wir bezweifeln, das es zur Umgehung der Zensur ausreicht, einfach einen unzensierten DNS-Server zu nutzen. Das am 18.06.09 verabschiedete Gesetz zur Einführung der Zensur ist ausdrücklich technik-oen formuliert. Es sieht vor, die die DSL-Provider alle nötigen Maÿnahmen ergreifen. um den Zugri auf indexierte Webseiten eektiv zu sperren. In unserer Anleitung gehen wir deshalb auch darauf ein, wie man unkonventionell einen anderen Port für DNS-Anfragen nutzt oder den Trac verschlüsselt an den Zensurprovidern vorbei leitet. 1.
bind9 installieren Das Paket bind9 ist in allen Distributionen vorhanden und bietet einen vollständigen DNS-Nameserver. Nach der Installation des Paketes mit den
62
KAPITEL 5.
UMGANG MIT ZENSUR
üblichen Tools läuft der Nameserver und ist unter der Adresse 127.0.0.1 erreichbar. Für Debian und Ubuntu:
> sudo aptitude install bind9 Um die DNS-Root-Server etwas zu entlasten, kann der eigene Nameserver alle nicht selbst lösbaren Anfragen an einen übergeordneten, cachenden und nicht zensierten DNS-Server senden. Diese Forwarder sind in der Datei
/etc/bind/named.conf.opions einzutragen. Die Datei enthält bereits ein Muster:
forwarders { 87.118.100.175; 85.25.251.254; }; listen-on { 127.0.0.1; }; (Standardmäÿig lauscht der Daemon an allen Schnittstellen, auch an externen. Die Option listen-on reduziert das auf den lokalen Rechner.)
Nicht den Standard-Port nutzen Die Nameserver der GPF können auch auf Port 110 angefragt werden, falls die Zensur-Provider in Zukunft den DNS-Datenverkehr auf dem StandardPort 53 behindern:
forwarders { 87.118.100.175 port 110; 85.25.251.254 port 110; }; Verschlüsselt an den Zensur-Providern vorbei Wer ganz sicher gehen will, kann den Anonymisierungsdienst Tor nutzen, um den DNS-Datenverkehr verschlüsselt an den Zensur-providern vorbei zu leiten. Tor bietet einen lokalen DNS-Server. In der Kongurationsdatei
/etc/tor/torrc kann diese Funktion mit einer Zeile aktiviert werden:
DNSPort 1053 Dieser Dienst kann von bind9 als Forwarder genutzt werden und der gesamt DNS-Verkehr geht verschlüsselt an den Zensur-Providern vorbei:
forwarders { 127.0.0.1 port 1053; } 2.
resolv.conf In der Datei /etc/resolv.conf wird festgelegt, welchen DNS-Nameserver die Programme nutzen sollen. Aktuelle Distributionen verwenden das Tool resolvconf, um diese Datei zu überschreiben. resolvconf
wird bei
der Initialisierung der Netzwerk-Schnittstellen aufgerufen (if-up, pppd,
5.4.
UNZENSIERTE DNS-SERVER
63
dhcpd).
In Abhängigkeit von der gewählten Konguration gibt es folgende Möglichkeiten:
•
statische (feste) IP-Adresse: In der Datei /etc/network/interfaces sind für die Netzwerkschnittstelle auch die DNS-Server zu kongurieren:
iface eth0 inet static address 192.168.xxx.yyy netmask 255.255.255.0 gateway 192.168.xxx.1 dns-nameservers 127.0.0.1 •
dynamische IP-Adresse via DHCP: In der Datei /etc/dhcp3/dhclient.conf kann man einstellen, welche Daten vom DHCP-Server genutzt werden sollen (request) und für welche Informationen Voreinstellungen gelten (prepend).
Ein kurzes Beispiel für eine funktionierende Konguration:
prepend domain-name-servers 127.0.0.1 request subnet-mask, broadcast-address, time-offset, routers, domain-name, host-name
5.4.3 DNS-Server testen Wir haben uns Gedanken gemacht, wie man möglichst einfach feststellen kann, ob man bei der Konguration der DNS-Server alles richtig gemacht hat. Möglicherweise hat man zwar alles richtig gemacht, aber der DSL-Provider leitet den DNS-Trac auf Port 53 zu den eigenen Servern um, wie es z.B. Vodafone im UMTS-Netz macht. Der einfachen Nutzer wird diese Umleitung in der Regel nicht bemerken. Die folgenden DNS-Server können die Test-Adresse welcome.gpf auösen und sind auf Port 53 und Port 110 erreichbar:
87.118.100.175 62.141.58.13 85.25.251.254 85.25.149.144 87.106.37.196 Hat man zwei dieser Server als DNS-Server ausgewählt, so kann man recht einfach testen, ob auch wirklich diese Server genutzt werden. Einfach im Browser die Adresse http://welcome.gpf aufrufen. Wenn man unsere Welcome-Seite sieht, ist alles Ok.
Congratulation You are using a censorchip free DNS server!
64
KAPITEL 5.
UMGANG MIT ZENSUR
Auf der Kommandozeile kann man nslookup nutzen. Die IP-Adresse in der Antwort muss 85.25.251.247 sein.
> nslookup welcome.gpf Non-authoritative answer: Name: welcome.gpf Address: 85.25.251.247 Sollte im Webbrowser nicht unsere Welcome-Seite angezeigt werden oder
nslookup eine andere IP-Adresse liefern, so wurde keiner der oben genannten DNS-Server genutzt. Es ist die Konguration zu prüfen oder .... hmmm.
Kapitel 6
Allgemeine Hinweise zur E-Mail Nutzung Die folgenden Hinweise beziehen sich in erster Linie auf den E-Mail Client Mozilla Thunderbird.
6.1 Mozilla Thunderbird Informationen und Downloadmöglichkeiten für Mozilla Thunderbird stehen auf der deutschsprachigen Website des Projektes unter www.thunderbird-mail.de/ zur Verfügung. Linux/Unix Distributionen enthalten in der Regel Thunderbird. Mit der Packetverwaltung kann Thunderbird und die deutsche Lokalisierung komfortabel installiert und aktualisiert werden. Debian GNU/Linux bietet eine angepasste Version von Thunderbird unter dem Namen Icedove. Alles Nötige kann mit aptitude auf die Platte gespült werden:
# aptitude install icedove-locale-de Nach dem ersten Start von Thunderbird führt ein Assistent durch die Schritte zur Einrichtung eines E-Mail Kontos. Nacheinander werden die E-Mail-Adresse sowie die Server für den Empfang und das Versenden von E-Mails abgefragt. Es können auch die Einstellungen eines bisher verwendeten Programms übernommen werden. Danach sollte man sich einen Moment Zeit nehmen, um die folgenden erweiterten Features von Thunderbird zu kongurieren.
6.1.1 Wörterbücher installieren Nach der Installation einer lokalisierten Version von Thunderbird sind die Wörterbücher für die Standardsprache in der Regel bereits vorhanden. Für alle weiteren Sprachen können die nötigen Wörterbücher zusätzlich installiert werden. Diese stehen unter http://www.thunderbird-mail.de/
65
zum Download
66
KAPITEL 6.
ALLGEMEINE HINWEISE ZUR E-MAIL NUTZUNG
zur Verfügung. Nach dem Download ist Thunderbird als Administrator zu starten. Der Menüpunkt Extras -> Erweiterungen önet den Dialog für die Verwaltung der Plug-Ins. Hier ist der Button Installieren zu wählen und in dem sich önenden Dateidialog sind die gespeicherten Wörterbücher auszuwählen. Die installierten Wörterbücher erscheinen nicht in der Liste der Plug-Ins. Nutzer von OpenOce.org können die Wörterbücher dieser Oce-Suite verwenden
und
müssen
sie
nicht
erneut
herunterladen.
Rechtschreibprüfung sind die Dateien de_DE.a
Für
die
deutsche
und de_DE.dic aus dem
Unterverzeichnis share/dict/ooo der OpenOce.org Installation in das Unterverzeichnis components/myspell der Thunderbird Installation zu kopieren und in de-DE.a sowie de-DE.dic umzubenennen.
Abbildung 6.1: Sprache für Rechtschreibung wählen
Im Anschluss ist im Einstellungsdialog in der Sektion Verfassen die gewünschte Default-Sprache für das Schreiben von E-Mails auszuwählen und die von einer Textverarbeitung gewohnten Funktionen zur Rechtschreibprüfung stehen auch in Thunderbird zur Verfügung.
6.1.2 Spam-Filter aktivieren Das Mozilla Team bezeichnet nicht erwünschte E-Mails (Spam) als Junk. Den integrierten lernfähigen Filter aktiviert man über den Menüpunkt Extras ->
Junk-Filter. Im Einstellungsdialog des Filters sollte man die beiden Optionen für das automatische Verschieben der Junk-Mails in einen speziellen Ordner aktivieren, am einfachsten in den Ordner Junk des entsprechenden Kontos. Auÿerdem sollte der lernfähige Filter aktiviert werden. Ich bin immer wieder von der guten Erkennungsrate beeindruckt.
6.1.
MOZILLA THUNDERBIRD
67
6.1.3 Gesicherte Verbindungen zum Mail-Server Die Grak im Bild 6.2 zeigt den Weg einer E-Mail vom Sender zum Empfänger.
Abbildung 6.2: Der Weg einer E-Mail durch das Web
In der Regel sind die Rechner der Nutzer nicht direkt mit dem Internet verbunden. Der Zugang erfolgt über ein Gateway des Providers oder der Firma. Der 1. Mailserver nimmt die Mail via SMTP entgegen und sendet sie an den 2. Mailserver. Hier liegt die Mail, bis der Empfänger sie mittels POP3 abruft. Mit dem Abrufen kann die Mail auf dem Server gelöscht werden. Es ist auch möglich, die Mail auf dem Server zu lesen, z.B. über ein Webinterface oder mittels IMAP-Protokoll. Die Möglichkeit des weltweiten Zugris auf seine Mails erkauft der Nutzer sich jedoch mit einer Einschränkung des Datenschutzes. (siehe
http://blog.kairaven.de/archives/1060-Unsichere-und-geschuetzte-E-
Mail-Sphaeren.html). Die im Bild 6.2 gestrichelten dargestellten Verbindungen zu den Mailservern können mittels SSL bzw. TLS kryptograsch gesichert werden. Das hat nichts mit einer Verschlüsselung der E-Mail zu tun. Es wird nur die Datenübertragung zum Mailserver verschlüsselt und es wird sichergestellt, dass man wirklich mit dem gewünschten Server verbunden ist. Wie einfach es ist, ungesicherte Verbindungen zu belauschen, die Passwörter zu extrahieren und das Mail-Konto zu kompromittieren, wurde auf der re:publica 2008 demonstriert. Bewusst oder unbewusst können auch Provider eine Transportverschlüsselung deaktivieren und damit den Trac mitlesen. Es wird einfach das Angebot des Mail-Servers 250-STARTTLS geltert. Das Abhörnetzwerk Echelon soll ebenfalls von dieser Möglichkeit Gebrauch machen, um den E-Mail Trac bei Bedarf mitlesen zu können. Mit einer sicheren Konguration erhält man eine Fehlermeldung und es werden keine Daten unverschlüsselt übertragen. (http://www.heise.de/security/news/meldung/116073)
68
KAPITEL 6.
ALLGEMEINE HINWEISE ZUR E-MAIL NUTZUNG
Abbildung 6.3: Konguration für das Abrufen von Nachrichten
Fast alle Mail-Server bieten Optionen zur verschlüsselten Kommunikation mit dem E-Mail Client. Diese Option ist in Thunderbird nach der Einrichtung eines neuen Kontos zu aktivieren. Die Einstellungen des POP3-Servers ndet man in dem Dialog Konten... im Unterpunkt Server-Einstellungen des Kontos (Bild 6.3). In der Regel unterstützen POP3-Server die SSL-Verschlüsselung. Ebenfalls im Dialog Konten... ndet man die Einstellungen für die SMTPServer (ganz untern). In der Liste der Server ist der zu modizierende Server auszuwählen und auf den Button Bearbeiten zu klicken. In dem sich önenden Dialog kann eine Option zur verschlüsselten Versendung gewählt werden. In der Regel bieten alle groÿen Provider die Ports 25 und 587 für die TLS Verschlüsselung oder Port 465 für SSL Verschlüsselung an.
6.1.4 Sichere Konguration des E-Mail Client Einige Hinweise für die sichere und unbeobachtete Nutzung des Mediums E-Mail mit Mozilla Thunderbird:
•
Mit der Verwendung von HTML in E-Mails steht dem Absender ein ganzes Bestarium von Möglichkeiten zur Beobachtung des Nutzers zur Verfügung: HTML-Wanzen, Java Applets, JavaScript, Cookies usw. Am einfachsten deaktiviert man diese Features, wenn man nur die Anzeige von Reinem Text zuläÿt.
Die Option ndet man im Menüpunkt Ansicht -> Nachrichtentext (siehe Bild 6.4). Wer auf graschen Schnick nicht ganz verzichten will, wählt die Option Vereinfachtes HTML. In diesem Fall werden nur HTML Tags für das Layout interpretiert, beispielsweise Fettdruck oder Tabellen.
•
Die Option Anhänge eingebunden anzeigen im Menü Ansicht sollte man ebenfalls deaktivieren, um das gefährlicher Anhänge nicht schon beim Lesen einer E-Mail automatisch zu önen.
•
Das Laden externer Graken ist zu blockieren. Häug wird dieses Feature von Spammern zu Beobachtung des Nutzers eingesetzt. Die Option ndet man im Dialog Einstellungen in der Sektion Datenschutz auf dem Reiter
Allgemein.
6.1.
MOZILLA THUNDERBIRD
69
Abbildung 6.4: Ansichten als reien Text darstellen
•
Gespeicherte Passwörter für den Zugri auf SMTP-, POP- oder IMAPServer sollten mit einem Masterpasswort vor Unbefugten geschützt werden (siehe Bild 6.5).
Abbildung 6.5: Masterpasswort festlegen
6.1.5 Datenverluste vermeiden Die folgenden Hinweise wurden von den Mozilla-Entwicklern erarbeitet, um den Nutzer bestmöglich vor Datenverlusten zu schützen:
•
Das Antiviren-Programm ist so einzustellen, dass es den Prolordner von Thunderbird NICHT(!) scannt. Die automatische Beseitigung von Viren kann zu Datenverlusten führen.
70
KAPITEL 6.
•
ALLGEMEINE HINWEISE ZUR E-MAIL NUTZUNG
Der Ordner Posteingang sollte so leer wie möglich gehalten werden. Gelesene E-Mails sollten auf themenspezische Unterordner verteilt werden.
•
Die Ordner sollten regelmäÿig komprimiert werden. Hierzu ist mit der rechten Maustaste auf den Ordner zu klicken und der Punkt Kompri-
mieren zu wählen. Während des Komprimierens sollten keine anderen Aktionen in Thunderbird ausgeführt werden.
Alternativ kann man in den Einstellungen von Thunderbird in der Sektion
Erweitert auch eine automatische Komprimierung kongurieren, sobald es lohnenswert ist (siehe Bild 6.6). Bei jedem Start prüft Thunderbird, ob die Ordner komprimiert werden können.
•
Regelmäÿig sollten Backups des gesamten Prols von Thunderbird angelegt werden. Unter WINDOWS sichert man C:/Dokumente und Einstel-
lungen/
/Anwendungsdaten/Thunderbird, unter Linux ist $HOME/.thunderbird zu sichern.
Abbildung 6.6: Ordner automatisch komprimieren
6.1.6 X-Mailer Kennung modizieren Wir haben gelesen, dass es kriminelle Elemente gibt, die via Internet ihre Software auf fremden Rechnern installieren möchten. In diesem Zusamenhang werden oft die Stichworte Spambot oder Bundstrojaner genannt.
6.1.
MOZILLA THUNDERBIRD
71
Voraussetzung ist die Kenntnis der vom Opfer genutzten Software. Genau wie jeder Webbrowser sendet auch Thunderbird eine user Agent Kennung im Header jeder E-Mail, die Auskunft über die genutzte Programmversion und das Betriebssystem liefert. Das folgende (veraltete) Beispiel stammt aus der Mail eines Unbekannten:
... User-Agent: Thunderbird 2.0.0.6 (X11/20070728) X-Enigmail-Version: 0.95.3 ... ------- BEGIN PGP MESSAGE ------Version: GnuPG v1.4.6 (GNU/Linux) ... Aha, er nutzt also Thunderbird in der Version 2.0.0.6 unter Linux, hat die Enigmail-Erweiterung v.0.95.3 installiert und verwendet die GnuPG-Version 1.4.6. Das war damals eine typische Kombination für Ubuntu Edgy. Die User-Agent-Kennung kann in den erweiterten Einstellungen modiziert werden. Im Einstellungs-Dialog ndet man in der Sektion Erweitert den Reiter
Allgemein. Ein Klick auf den Button Konguration bearbeiten önet eine Liste aller Optionen.
Abbildung 6.7: Neue Cong-Variable anlegen
Hier fügt man mit einem Klick der rechten Maustaste die neue StringVariable
general.useragent.override als neuen Wert ein und setzt den Wert
dieser Variablen auf ein Fake. Man sollte jedoch darauf achten, dass der Fake plausibel ist. Man kann auf eine beachtliche Auswahl an Kennungen für die Variable ge-
neral.useragent.override zurückgreifen. Da jeder E-Mail Client einen typischen Aufbau des Headers verwendet, sollte man für einen plausiblen Fake nur Kennungen von Thunderbird Versionen verwenden. (Da auch Spam-Scanner diese Informationen analysieren, bleibt eine Mail mit einem Outlook-Fake eher im Junk hängen.)
72
KAPITEL 6.
ALLGEMEINE HINWEISE ZUR E-MAIL NUTZUNG
Thunderbird 1.5.0.10 (Windows/20070221) Thunderbird 2.0.0.6 (Macintosh/20070728) Thunderbird 2.0.0.6 (X11/20071008) Thunderbird 2.0.0.12 (Windows/20080213) Thunderbird 2.0.0.9 (X11/20071119) Thunderbird 1.5.0.12 (X11/20070604) Thunderbird Mnenhy/0.7.5.666 Thunderbird 2.0.0.0 (X11/20070326) Thunderbird 2.0.0.14 (Windows/20080421) Mozilla 4.7 [de] (Win95; U) Thunderbird 2.0.0.14 (Macintosh/20080421) Thunderbird 2.0.0.16 (X11/20080724) Thunderbird 2.0.0.16 (Windows/20080708) IceDove 1.5.0.14 (X11/20080724) Wer die Erweiterung EnigMail für die Verschlüsselung nutzt, sollte dieser Erweiterung die Geschwätzigkeit abgewöhnen und die Ausgabe von Versionen im Header deaktivieren. Die Variable extensions.enigmail.addHeaders ist in den erweiterten Optionen auf false zu setzen! Auÿerdem sind in den Einstellungen von Enigmail für GunPG folgende zusätzliche Optionen einzutragen, welche die Ausgabe der GnuPG-Version unterbinden:
--no-emit-version Anderenfalls sieht ein Schnüer an einer signierten oder verschlüsselten E-Mail, dass nicht MacOS genutzt wird, sondern evtl. Linux oder WINDOWS. Für
Linux/Unix ndet man unter https://www.awxcnx.de/downloads.htm
ein kleines Perl-Script tb-uagen, welches die Einstellungen anpasst, eine zufällige User-Agent Kennung auswählt und nach getaner Arbeit Thunderbird bzw. Icedove starten kann.
6.1.7 Spam-Schutz Man muss nicht bei jeder Gelegenheit im Web seine richtige E-Mail Adresse angeben. Damit fängt man sich eine Menge Spam (Junk) ein. Auÿerdem ist die E-Mail Adresse ein wichtiges Identitätsmerkmal. Datensammler verwenden sie als ein Hauptmerkmal für die Identikation, um darauf aufbauend Prole zu erstellen. Stichproben im Internet-Trac weisen einen hohen Anteil von Suchanfragen nach Informationen zu den Inhabern von E-Mail Adressen aus. Um die eigene E-Mail Adresse nicht zu kompromittieren und trotzdem Angebote zu nutzen, welche die Angabe einer Mailadresse erfordern, kann man temporäre Wegwerf-Adressen nutzen. Bei der Nutzung temporärer Mailadressen geht es nicht(!) um die Umgehung der Vorratsdatenspeicherung. Hinweise dafür ndet man im Abschnitt E-Mail
anonym nutzen .
6.1.
MOZILLA THUNDERBIRD
73
10min Mail-Adresse Unter www.10minutemail.com kann man mit einem Klick eine E-Mail Adresse anlegen, die für 10min gültig ist. Das reicht, um sich in einem Forum anzumelden. Es önet sich eine Seite, auf der man alle ankommenden E-Mails sieht. Dort kann man die Verfügbarkeit der Mail-Adresse um weitere 10min verlängern.
6-12h Mail-Adressen Einige Anbieter von Wegwerf-E-Mail-Adressen bieten einen sehr einfach nutzbaren Service, der keinerlei Anmeldung efordert. E-Mail Adressen der Form
[email protected] oder [email protected] kann man überall und ohne Vorbereitung angeben. Liste einiger Anbieter (unvollständig):
•
http://www.sofort-mail.de
•
http://www.trash-mail.com
•
http://dodgit.com
•
http://www.mailinator.com/
In einem Webformular auf der Seite des Betreibers ndet man alle eingegangenen Spam- und sonstigen Nachrichten für das gewählte Pseudonym. Für das Webinterface des Postfachs gibt es keinen Zugrisschutz. Jeder, der das Pseudonym kennt, kann die Nachrichten lesen und löschen. Alle eingegangenen Nachrichten werden nach 6-12h automatisch gelöscht. In der Regel speichern diese Anbieter die Informationen über eingehende E-Mails sowie Aufrufe des Webinterface und stellen die Informationen bei Bedarf den Behörden zur Verfügung.
Kapitel 7
E-Mails verschlüsseln Der Einsatz kryptographischer Methoden ist insbesondere für die Kommunikation via E-Mail sinnvoll. Das europäische Verbraucheramt in Kiel, das BSI sowie der Bundesdatenschutzbeauftragte empfehlen die breite Nutzung folgender Methoden:
• Signieren
von E-Mails: Eine vom Absender erstellte Signatur ermöglicht
es dem Empfänger, die Identität des Absenders zu prüfen und gewährleistet, dass die E-Mail nicht verändert wurde.
• Verschlüsseln von E-Mails: Es wird die Vertraulichkeit der Kommunikation gewährleistet. Eine Nachricht kann nur vom Empfänger geönet und gelesen werden. Mit OpenPGP und S/MIME haben sich zwei Standards für diese Aufgaben etabliert:
• OpenPGP:
PGP (Pretty Good Privacy) und die kostenlose Alternative
GnuPG (GNU Privacy Guard) stellen für die Verschlüsselung eine lang erprobte Software zur Verfügung. In der Regel ist diese Software zusätzlich zum E-Mail Client beim Absender und Empfänger zu installieren. Beide können die nötigen Schlüssel recht einfach selbst erzeugen. Für den Austausch der Schlüssel stellt das Internet eine ausgebaute Infrastruktur bereit.
• S/MIME: Das Secure MIME Protokoll (S/MIME) wurde 1998 entwickelt und ist heute in den meisten E-Mail Clients integriert. Es werden Zertikate nach dem Standard X.509 für die Verschlüsselung genutzt. Diese Zertikate werden von einer Certication Authority (CA) signiert (beglaubigt). Beide Standards nutzen
•
Asymmetrischen Verschlüsselung:
Jeder Anwender generiert ein Schlüsselpaar bestehend aus einem geheimen und einem öentlichen Schlüssel. Während der geheime Schlüssel sorgfältig geschützt nur dem Anwender selbst zur Verfügung stehen sollte, ist der öentliche Schlüssel an alle Kommunikationpartner zu verteilen.
74
75
•
Wenn der Anwender Anton eine signierte E-Mail an die Anwenderin Beatrice senden will, erstellt er eine Signatur mit seinem geheimen Schlüssel. Die Anwenderin Beatrice kann mit dem öentlichen Schlüssel von Anton die Nachricht verizieren.
•
Wenn Beatrice eine verschlüsselte Nachricht an Anton senden will, nutzt sie den öentlichen Schlüssel von Anton, um die Nachricht zu chirieren. Nur Anton kann diese E-Mail mit seinem geheimen Schlüssel dechirieren und lesen.
76
KAPITEL 7.
E-MAILS VERSCHLÜSSELN
7.1 GnuPG und Thunderbird GnuPG in Kombination mit Thunderbird, dem E-Mail Client der Mozilla Foundation. Alle Komponenten
Die folgende Anleitung erläutert den Einsatz von
stehen für Linux, Mac OS und WINDOWS kostenfrei unter folgenden Adressen zur Verfügung:
•
http://www.gnupg.org
•
http://macgpg.sourceforge.net/de/
7.1.1 Installation von GnuPG WINDOWS-User nden Binärpakete mit grascher Installationsroutine auf der Website http://www.gnupg.org/(de)/download/index.html. Das Setup-Archiv ist nach dem Download mit den Rechten des Administrators zu starten.
Abbildung 7.1: Verknüpfungen im Startmenü deaktivieren
Als erstes ist die gewünschte Sprache für die Installation zu wählen. Die weiteren Dialoge sind in der Regel lediglich zu bestätigen, da die Voreinstellungen sinnvoll gewählt wurden. Hat man keine Möglichkeit, die Installation als Administrator zu starten, kann die Warnung auch ignoriert werden. In diesem Fall ist das Verzeichnis für die Installation auf ein beliebiges Verzeichnis zu setzen, in welchem man Schreibrechte hat und das Anlegen von Verknüpfungen im Startmenü ist zu deaktivieren (Bild 7.1).
7.1.
77
GNUPG UND THUNDERBIRD
7.1.2 Installation der Enigmail-Erweiterung Enigmail ist eine Erweiterung für Thunderbird, welche den Einsatz von GnuPG im täglichen E-Mail-Chaos vereinfacht. Die aktuelle deutsche Version steht unter
https://addons.mozilla.org/de/thunderbird/addon/71
zum
Download
zur Verfügung: Nutzer der Mozilla-Browser sollten nicht mit der linken Maustaste auf den Download-Link klicken. Statt dessen ist mit der rechten Maustaste auf den Downloadlink zu klicken und im Kontextmenü der Punkt Ziel speichern unter zu wählen. Nach
dem
Download
ist
Thunderbird
zu
starten
und
der
Dialog
zur
Verwaltung der Erweiterungen über den Menüpunkt Extras / Erweiterungen zu önen. Hier wählt man den Button Installieren und in dem sich önenden Dateidialog das gespeicherte Plug-In (.xpi). Nach Installation des Enigmail-PlugIns muss Thunderbird neu gestartet werden. Es wird der
Assistent zur Einrichtung von Enigmail ausgeführt, der fol-
gende Schritte durchläuft: 1. Abfrage, für welche Konten die Funktionen zur Verschlüsselung aktiviert werden sollen (in der Regel alle). 2. Abfrage, ob gesendete E-Mails standardmäÿig signiert und verschlüsselt werden sollen. Um unbedarfte Anwender nicht zu verwirren, habe ich diese Funktion deaktiviert. 3. Optimierung der Einstellungen für GnuPG. Die Vorgaben sind sinnvoll und sollten übernommen werden. 4. Generieren der Schlüsselpaare für alle im Schritt 1 ausgewählten Konten. Die Passphrase für den Zugri auf den privaten Key sollte man sich
vorher gut überlegen und merken! Es heiÿt Passphrase und nicht Passwort. Die Passphrase darf ruhig etwas länger sein und auch Leerbzw. Sonderzeichen enthalten.
Die aktuellen kryptograschen Funktionen können nicht unbegrenzt den Fortschritten der Kryptoanalys widerstehen. Es ist sinnvoll, die Nutzungszeit des Schlüssels mit einem Haltbarkeitsdatum zu versehen. Eine Nutzung länger als
5 Jahre sollte man nur in begründeten Ausnahmen
in Erwägung ziehen. Bei der Schlüsselerstellung sollte ein Verfallsdatum angegeben werden.
Mit jedem Schlüsselpaar sollte auch ein Zertikat für den Rückruf erstellt und sicher gespeichert werden. Mit diesem Zertikat kann man einen Schlüssel für ungültig erklären, wenn der private Key kompromittiert wurde oder die Passphrase in Vergessenheit gerät. Dieser 4. Schritt kann übersprungen werden, wenn man bereits gültige OpenPGP Schlüssel hat.
78
KAPITEL 7.
E-MAILS VERSCHLÜSSELN
Abbildung 7.2: Einstellungen von EnigMail
5. FERTIG Sollte Enigmail das Programm gnupg nicht nden, weil es unter WINDOWS in einem selten verwendeten Verzeichnis liegt, wählt man den Menüpunkt Open-
PGP / Einstellungen und gibt in der Dialogbox den Pfad zum GPG-Programm ein (Bild 7.2).
7.1.3 Schlüsselverwaltung Die Schlüsselverwaltung ndet man in Thunderbird unter dem Menüpunkt
OpenPGP / Schüssel verwalten. Ist die Liste noch leer, wählt man zuerst den Menüpunkt Erzeugen / Neues Schlüsselpaar. Diesen Schritt übernimmt jedoch der Assistent zur Einrichtung von EnigMail.
Exportieren des eigenen öentlichen Schlüssels Um verschlüsselt zu kommunizieren, muss den Kommunikationspartnern der eigene öentliche Schlüssel zur Verfügung gestellt werden. Der einfachste Weg nutzt die Schlüsselserver im Internet. In der Schlüsselverwaltung ndet man den Menüpunkt Schlüssel-Server / Schlüssel hochladen. Der öentliche Schlüssel wird auf den Schlüsselserver exportiert und steht dort allen Partnern zur Verfügung. Die verschiedenen Server synchronisieren ihren Datenbestand. Alternativ könnte man den öentlichen Schlüssel in eine Datei exportieren und diese Datei anschlieÿend als E-Mail-Attachment versenden oder auf einem Webserver ablegen. Den Menüpunkt für den Export in eine Datei ndet man unter Datei / Schlüssel exportieren in der Schlüsselverwaltung.
7.1.
79
GNUPG UND THUNDERBIRD
Abbildung 7.3: Schlüsselverwaltung von EnigMail
Import der Schlüssel der Partner Um an einen Kommunikationspartner verschlüsselte E-Mails zu senden oder die Signatur erhaltener Nachrichten zu prüfen, benötigt man den öentlichen Schlüssel des Partners.
•
Am einfachsten läÿt sich dieser importieren, wenn man eine signierte EMail erhalten hat. Ein Klick auf den blauen Stift rechts oben im Header der E-Mail reicht aus, um den öentlichen Schlüssel von einem Schlüsselserver zu importieren.
•
Zum Importieren des Schlüssel eines Partners aus einer Datei, die man als Attachement oder per Download erhalten hat, wählt man den Menüpunkt
Datei / Importieren
•
Auch ohne eine signierte E-Mail erhalten zu haben, kann man die Schlüsselserver nach dem zu einer E-Mail Adresse gehörenden Schlüssel durchsuchen. Die Funktion ndet man unter dem Menüpunkt Schlüssel-
Server / Schlüssel suchen. Man gibt in der sich önenden Dialogbox die E-Mail-Adresse des Empfängers ein und bestätigt die Suchanfrage mit OK.
Wurden zur Suchanfrage passende Schlüssel gefunden, werden diese in einer Liste angezeigt. Wählen Sie aus dieser Liste den zu importierenden Schlüssel und bestätigen Sie die Auswahl mit OK.
7.1.4 Signieren und Verschlüsseln erstellter E-Mails Wurde
in
den
Kontoeinstellungen
in
der
Sektion
OpenPGP
die
Option
Nachrichten standardmäÿig verschlüsseln aktiviert, sind beim Schreiben einer E-Mail keine weiteren Hinweise zu beachten. Anderenfalls ist für jede E-Mail explizit festzulegen, dass sie verschlüsselt werden soll. Das Fenster für das Erstellen einer neuen E-Mail (Bild 7.4) zeigt nach der Installation des Enigmail-PlugIns einen neuen Button OpenPGP. Klickt man auf diesen Button, önet sich der im Bild 7.4 gezeigte Dialog, der es ermöglicht,
80
KAPITEL 7.
E-MAILS VERSCHLÜSSELN
Abbildung 7.4: Signieren und Verschlüsseln einer E-Mail
die Krypto-Eigenschaften für diese E-Mail festzulegen. Sollte die E-Mail Anhänge enthalten, ist die Option PGP / MIME
zu
aktivieren, um die Attachements standardkonform zu verschlüsselt.
Achtung: Die Betrezeile wird nicht (!) mit verschlüsselt. Sicher wird man die Kontonummer nicht in der Betrezeile schreiben, aber auch ein ausführlicher Betre ermöglicht zusammen mit der/den Adressen der Empfänger einige Aussagen über die Kommunikation. Wenn man als Betre beispielsweise schreibt:
Treen der Aktivisten-Gruppe ... am 13.01.09 und diese Mail per CC an alle Mitglieder der Gruppe versendet, sind 90% der relevanten Informationen bekannt und man kann sich die Verschlüsselung der Mail sparen. Alternativ ist es auch möglich, lediglich für bestimmte Empfänger festzulegen, dass alle E-Mails signiert oder verschlüsselt werden sollen. Für die Festlegung dieser Regeln ist der entsprechende Dialog über OpenPGP / Empfänger-
regeln in Thunderbird zu önen.
7.1.5 Verschlüsselung in Webformularen Auch bei der Nutzung eines Webmail Accounts oder Webforms für die Versendung anonymer E-Mails muss man auf Verschlüsselung nicht verzichten.
7.1.
81
GNUPG UND THUNDERBIRD
Einige GUIs für GnuPG (z.B. KGPG) enthalten einen Editor. Man kann den Text in diesem Editor schreiben, mit einem Klick auf den entsprechenden Button signieren oder verschlüsseln und das Ergebnis über die Zwischenablage in die Textbox der Website einfügen. Entschlüsseln funktioniert in umgekehrter Reihenfolge. Für
alle
anderen
(http://gpg4usb.cpunk.de).
gibt Es
es
bietet
das einen
kleine Editor
mit
Tool den
gpg4usb Buttons
für
das Ver- und Entschlüsseln des Textes sowie eine kleine Schlüsselverwaltung (Signieren und Prüfen der Signatur steht noch auf der ToDo Liste). Das ZIP-Archiv enthält Versionen für Windows und Linux. Es kann einfach auf dem USB-Stick genutzt werden. Für Firefox und Iceweasel gibt es das Plug-In
FireGPG. Es ver- und
entschlüsselt Text in Webformularen mit GnuPG. Die Installation erfolgt wie üblich mit einem einfachen Klick auf den Download Button. (Man muss der Website die Installation des Plug-In explizit erlauben, da es nicht die Mozilla Website ist.) Projektseite: http://regpg.tuxfamily.org/ Nach einem Neustart des Browsers ndet man im Kontextmenü (rechter Mausklick) einer Textbox einen zusätzlichen Punkt FireGPG mit den üblichen Untermenüs: verschlüsseln, signieren, entschlüsseln...
Abbildung 7.5: FireGPG Menü
Verschlüsseln und Signieren: Es ist der gesamte Text in der Eingabebox zu markieren (<Strg>-A) und anschlieÿen der entsprechende Menüpunkt aus dem FireGPG Menü zu wählen. Schwupp - es steht der verschlüsselte oder signierte Text in der Box.
Entschlüsseln: Der Text zu entschlüsselnde ist zu markieren und das dem FireGPG-Untermenü der Punkt entschlüsseln zu wählen. Im integrierten Editor wird der entschlüsselte Text angezeigt und kann bei Bedarf auch als Datei gespeichert werden.
82
KAPITEL 7.
E-MAILS VERSCHLÜSSELN
7.1.6 GnuPG SmartCard nutzen Die Sicherheit asymmetrischer Verschlüsselung hängt in hohem Maÿe von der sicheren Aufbewahrung des privaten Keys ab. Nutzt man GnuPG auf mehreren Rechnen, insbesondere wenn andere Nutzer Administrator- bzw. Root-Privilegien auf diesen Rechnern haben, könnte der private Key in falsche Hände gelangen. Böswillige Buben könnten mit einem Trojaner versuchen, den privaten Key zu kopieren und das Passwort mit Tools wie Elcomsoft Distributed Password
Recovery ermitteln. Die unbedachte Entsorgung einer Festplatte oder eines Computers ist ein weiteres Risiko, wenn der private Key nicht zuverlässig gelöscht wurde.
SmartCards: ermöglichen eine sichere Nutzung von GnuPG unter diesen Bedingungen. Der private Key ist ausschlieÿlich auf der SmartCard gespeichert, er verläÿt diese sichere Umgebung nicht. Sämtliche kryptograschen Operationen werden auf der Card ausgeführt. CardReader (USB) und GnuPGSmartCards gibt es bei kernelconcepts.de.
CryptoStick: Da das Handling mit CardReader und SmartCard unter Umständen etwas umständlich sein kann, wird in der GPF ein USB-Stick entwickelt, der CardReader und eine SmartCard in einem kleinen Gehäuse enthält. Projektseite: http://wiki.privacyfoundation.de/GPFCryptoStick
Abbildung 7.6: CryptoStick der GPF
Hardware-Treiber installieren Vor der Nutzung der SmartCard ist der Hardware-Treiber für den CardReader zu installieren.
•
WINDOWS:
Die
Lieferung
des
CardReaders
von
kernelconcepts.de
enthält eine CD mit den nötigen Treiber für WINDOWS. Das zum Gerät passende ZIP-Archiv ist zu entpacken und setup.exe als Administrator zu starten.
Für den CryptoStick der GPF gibt es den PC Twin USB PC/SC
7.1.
83
GNUPG UND THUNDERBIRD
Treiber.
Aktuelle
Links
zum
Download
ndet
man
unter
htt-
ps://www.awxcnx.de/handbuch_32r.htm
•
Linux: Nahezu alle Distributionen enthalten die nötigen Treiber in den Paketen pcscd und libpcsclite1. Unter Debian/Ubuntu installiert man alles Nötige für die Nutzung der SmartCard mit folgendem Kommando:
# aptitude install pcscd libpcsclite1 SmartCards und CryptoStick mit Enigmail nutzen Das Plug-In
Enigmail bietet eine grasche Oberäche, um die SmartCard
zu verwalten. Diese Funktionen önet man über den Menüpunkt OpenPGP -
Smartcard verwalten.
Abbildung 7.7: SmartCard verwalten
1. Als Erstes kann man die Card personalisieren und den Namen usw. editieren, eine URL für den Public Key angeben... (Edit Card Data ). 2. Im zweiten Schritt sollte der PIN und der Admin-PIN geändert werden. Der PIN ist eine 6-stellige Zahlenkombination (Default: 123456), welche den User-Zugri auf die Card sichert. Der Admin-PIN ist eine 8-stellige Zahlenkombination (Default: 12345678) für die Verwaltungsoperationen.
Wurde der PIN 3x falsch eingegeben, wird die Card gesperrt und kann mit dem Admin-PIN wieder entsperrt werden (Unblock PIN ). Wird der
84
KAPITEL 7.
E-MAILS VERSCHLÜSSELN
Admin-PIN 3x falsch eingegeben, ist die SmartCard zerstört!.
Die Festlegung auf 6- bzw. 8-stellige Zahlenkombinationen legt es nahe, ein Datum aus dem persönlichen Leben als PINs zu nutzen. Das reduziert die Vergesslichkeit. Es sollte jedoch kein einfach zu erratenes Datum wie der Geburtstag des Töchterchens sein.
Abbildung 7.8: SmartCard-PINs ändern
3. Als letzten Schritt vor der Nutzung der SmartCard im täglichen KryptoChaos sind die Keys auf der SmartCard zu generieren. Der entsprechende Dialog bietet die Auswahl eines Mail-Account an, für den die SmartCard genutzt werden soll. Für diesen Account darf kein(!) OpenPGP-Key vorhanden sein. Anderenfalls bricht der Vorgang mit einer wenig verständlichen Fehlermeldung ab.
Es sollte unbedingt bei der Erzeugung des Schlüssels ein Backup der Card-Keys angelegt und mit einem Passwort gesichert werden. Später ist kein Zugri auf diese Schlüssel mehr möglich. Bei Beschädigung der SmartCard kann der gesicherte Card-Key in eine neue SmartCard importiert werden. Das Backup wird im GnuPG-Verzeichnis abgelegt und ist auf einem sicheren Datenträger zu speichern!
Wurden die Schlüssel erfolgreich generiert, ndet man in der Schlüsselver-
waltung ein neues Paar. Der Public Key dieses Schlüsselpaares kann wie üblich exportiert und den Partnern zur Verfügung gestellt werden. Der Private Key dieses Paares deniert lediglich, dass die kryptograschen Operationen auf einer SmartCard auszuführen sind. Er ist ohne die passende Card unbrauchbar.
Selbstverständlich kann dieses Schlüsselpaar auch in eine Datei exportiert werden, um es auf verschiedenen Rechnern zu nutzen.
Funktionen für Genieÿer Die Nutzung von gpg auf der Kommandozeile bietet etwas mehr Möglichkeiten, als bisher im Enigmail-GUI implementiert sind. Natürlich stehen auch die mit
7.1.
GNUPG UND THUNDERBIRD
85
dem GUI durchführbaren Funktionen auf der Kommandozeile zur Verfügung. Einen Überblick über alle SmartCard-Funktionen gibt die Hilfe:
> gpg --card-edit command> help Die SmartCard unterstützt bisher nur 1024 Bit lange Keys. Diese Schlüssellänge ist nach Einschätzung des BSI nicht mehr ausreichend. Es werden 2048 oder 4096 Bit lange Schlüssel empfohlen. Auch wenn man bereits einen OpenPGP-Key mit mehreren Signaturen nutzt, möchte man diesen Key nicht wegwerfen und mit einem Card-Key neu beginnen. Als Ausweg bietet es sich an, einen vorhandenen, starken Schlüssel mit der SmartCard zusätzlich zu schützen. Der Zugri auf den geheimen Schlüssel ist dann nur mit der SmartCard möglich. Es ist dem vorhanden Schlüssel mit der ID key-id ein Subkey der SmartCard hinzuzufügen. Das geht nur auf der Kommandozeile:
> gpg --edit-key key-id command> addcardkey Dabei wird ein evtl. auf der SmartCard vorhandener Key zertört!
7.1.7 Web des Vertrauens Im Prinzip kann jeder Anwender einen Schlüssel mit beliebigen E-Mail Adressen generieren. Um eine Basis für Vertrauen zu schaen, bietet OpenPGP das
Web
of Trust. Hat Beatrice die Echtheit des Schlüssels von Anton überprüft, kann sie diesen mit ihrem geheimen Schlüssel signieren und auf die Schlüsselserver re-exportieren. Conrad, der den Schlüssel von Beatrice bereits überprüft hat, kann damit aufgrund der Signatur auch dem Schlüssel von Anton vertrauen. Es bildet sich ein weltweites Netz von Vertrauensbeziehungen. Die Grak Bild 7.9 zeigt eine mögliche Variante für den Key von Anton (A).
OpenPGP-Schlüssel signieren Die Echtheit eines Schlüssels kann anhand des Fingerabdrucks geprüft werden. Zu jedem Schlüssel existiert ein eindeutiger Fingerabdruck. Dieser lässt sich in den Eigenschaften des Schlüssels anzeigen. In der Schlüsselverwaltung ist der zu prüfende Schlüssel auszuwählen und über den Menüpunkt Anzeigen -
Eigenschaften den im Bild 7.10 dargestellten Dialog zu önen. Der angezeigte Fingerabdruck des Schlüssels kann mit dem Wert verglichen werden, den man vom Eigentümer des Schlüsels erhalten hat. Sind beide identisch, kann das Vertrauen des öentlichen Schlüssels auf ein hohes Niveau gesetzt werden. Den Dialog ndet man in der Schlüsselverwaltung unter
Bearbeiten - Vertrauenswürdigkeit.
86
KAPITEL 7.
E-MAILS VERSCHLÜSSELN
Abbildung 7.9: Beispiel für ein Web of Trust
Hat man sich von der Echtheit des Schlüssels überzeugt, kann man ihn in Absprache mit dem Schlüsseleigentümer auch signieren und den signierten Schlüssel auf einen Keyserver exportieren. Wenn viele Nutzer die Ergbnisse ihrer Überprüfung online verfügbar machen, entsteht das Web-of-Trust und es wird schwer, gefälschte Schlüssel in Umlauf zu bringen.
Certication Authorities Diese Infrastruktur kann auch von vertrauenswürdigen Institutionen (Certication Authorities, CAs) genutzt werden. Die Nutzer wenden sich an die CA und lassen gegen Vorlage von Ausweisdokumenten den eigenen OpenPGP-Key sgnieren. Alle Partner benötigen lediglich den öentlichen Schlüssel der CA, um die Echtheit der Schlüssel zu überprüfen. Beispiele für Certication Authorities sind:
•
Krypto-Kampagne der Zeitschrift Ct
•
OpenPGP-CA der German Privacy Foundation e.V.
•
PCA des Deutschen Forschungsnetzes (DFN-PCA)
Keysigning-Party Wenn sich mehrere OpenPGP-Nutzer treen um sich gegenseitig die Echtheit ihrer Schlüssel zu bestätigen, nennt man es eine Keysigning-Party. Dabei kommt es nicht darauf an, dass die Beteiligetn sich persönlich kennen. Die Echtheit des Schlüssels können auch Unbekannte gegen Vorlage von Ausweisdokumenten bestätigen. Eine Keysigning-Party läuft üblicherweise folgendermaÿen ab: 1. Der Organisator lädt zu einer Party ein und bittet um Anmeldungen.
7.1.
GNUPG UND THUNDERBIRD
87
Abbildung 7.10: Schlüssel-Eigenschaften
2. Wer an der Party teilnehmen möchte, sendet seinen public OpenPGP-Key zusammen mit Namen und dem Fingerprint an den Organisator. 3. In Vorbereitung der Party erstellt der Organisator einen Keyring für alle Beteiligte und eine Liste mit Namen, Key-IDs und Fingerprints von allen Teilnehmern. 4. Der Keyring und die Liste werden an alle Teilnehmer verteilt. Die Teilnehmer können auf der Party die Identität gegenseitig durch Vorlage von Ausweisdokumenten prüfen. 5. Wieder zuhause können die Schlüssel im Party-Keyring signiert und an die Inhaber per E-Mail versendet werden. In der Regel erfolgt dieser Schritt nicht beim Treen. Wer häuger an Keysigning-Partys teilnimmt, kann unter Linux das Tool
ca für den letzten Schritt nutzen. Das Tool ist im Paket signing-party für nahezu alle Linux-Ditributionen verfügbar und kann mit dem Paket-Manager der Wahl installiert werden. Nach der Installation ist die Datei $HOME/.carc als Textdatei anzulegen und die Werte für den eigenen Namen, E-Mail Adresse, OpenPGP-ID sowie die Parameter zur Versendung von E-Mails sind zu kongurieren:
$CONFIG{'owner'} = 'Michi Müller'; $CONFIG{'email'} = '[email protected]'; $CONFIG{'keyid'} = [ qw{01234567890ABCDE} ]; $CONFIG{'mailer-send'} =
[ 'smtp', Server => 'mail.server', Auth => ['user','pass'] ];
Ein kleines Kommando im Terminal signiert alle Schlüssel des PartyKeyring, verpackt sie in E-Mails, die mit dem Key der Empfänger verschlüsselt werden, und sendet die E-Mails an die Inhaber der OpenPGP-Keys:
> caff --key-file party-keyring.asc
88
KAPITEL 7.
E-MAILS VERSCHLÜSSELN
7.1.8 Schlüssel zurückrufen Soll ein Schlüsselpaar nicht mehr verwendet werden (beispielsweise weil der geheime Schlüssel kompromittiert wurde oder die Passphrase in Vergessenheit gefallen ist), kann der öentliche Schlüssel für ungültig erklärt werden. Önen Sie die Schlüsselverwaltung, wählen Sie den Schlüssel, der für ungültig erklärt werden soll. Rufen Sie den Menüpunkt Bearbeiten / zurückrufen auf. Nach einer Sicherheitsfrage und Eingabe der Passphrase wird der Schlüssel auf den Schlüsselservern im Internet für ungültig erklärt. Auch wenn der geheime Schlüssel nicht mehr vorliegt oder die Passphrase in Vergessenheit geraten ist, kann der öentliche Schlüssel für ungültig erklärt werden, indem das unter Punkt 4 erstellte Rückrufzertikat importiert wird.
7.2.
S/MIME MIT THUNDERBIRD
89
7.2 S/MIME mit Thunderbird S/MIME nutzt Zertikate nach dem Standard X.509 für die Verschlüsselung und Signatur von E-Mails. Eine Certication Authority (CA) bestätigt mit einer Signatur die Echtheit und die Identität des Besitzers eines ausgegebenen Zertikates. Für diese Signatur wird das Root Certicate der CA genutzt. Die Root Certicates etablierter CAs sind in nahezu allen Browsern und E-Mail Clients enthalten. Wer diesen Zertikaten vertraut, vertraut auch ohne weitere Nachfrage den damit signierten persönlichen Zertikaten anderer Nutzer.
7.2.1 Kostenfreie Certication Authorities Neben der Möglichkeit, ein Zertikat bei einer etablierten CA für 100 Euro jährlich signieren zu lassen, bieten CAcert.org, Thawte.com, Startcom.org u.a. kostenfreie Alternativen.
Thawte.com bietet kostenfreie Zertikate. Einfache Class-1 Zertikate werden durch die Zusendung einer E-Mail veriziert. Diese Zertikate enthalten nicht den Namen des Inhabers sondern nur die verizierte E-Mail Adresse. Class-3 Zertikate enthalten neben der E-Mail Adresse auch den Namen des Inhabers. Die Inhaber werden durch das thawte web of trust überprüft. Dabei wird von mehreren Teilnehmer (Assurern) oder per Post-Ident die Identität des Inhabers veriziert. Eine Liste der akkreditierten Assurer ndet man auf der Website.
CAcert.org ist ein Web of Trust von Nutzern, welche sich gegenseitig bei einem persönlichen Treen die Identität bestätigen. Für jede Bestätigung durch einen Assurer erhält der Nutzer bis zu 35 Punkte. Sobald man 50 Punkte angesammelt hat, also nach mindestens 2 unabhängigen Bestätigungen, kann man sich auf der Website von CAcert.org ein Zertikat mit veriziertem Namen generieren. Mit einem Punktestand von 100 Punkten kann man den Status eines Assurers beantragen. Es ist auch bei CAcert.org möglich, ohne Bestätigungen durch Assurer ein Class-1 Zertikat zu erzeugen. Dieses Zertikat enthält debenfalls nur die E-Mail Adresse des Besitzers und keinen Namen. Im folgenden wird der Weg zur Erstellung eines Zertifakates beschrieben:
•
Wer häug CAcert.org nutzt, sollte das Root-Zertikat dieser CA in den Browser importieren. Man erspart sich damit lästige Nachfragen beim Besuch der Website. Die Root Zertikate von CAcert.org ist standardmäÿig nicht in den häug genutzten Browsern enthalten.
•
Es ist notwendig, die Root-Zertikate der CA, mit denen das eigene E-Mail Zertikat signiert wird, in den E-Mail Client zu importieren. Nur so kann die Gültigkeit überprüft werden. Man benötigt in der Regel das Class 1 und Class 3 Root Certicate. Die Root-Zertikate von Thawte.com sind in allen E-Mail Clients enthalten.
90
KAPITEL 7.
•
E-MAILS VERSCHLÜSSELN
Die Anmeldung bei der CA folgt dem üblichen Schema. Nach Eingabe der Kontaktdaten erhält man eine E-Mail zu Verizierung und kann sich im Anschluss auf der Website einloggen, um die persönlichen Angaben zu vervollständigen.
•
Zur Bestätigung der Identität kann man auf der Website einen Assurer in der Nähe suchen und um ein persönliches Treen bitten. Zum Treen ist ein Ausdruck des WOT-Formulars für den Assurer mitzubringen.
•
Ein persönliches Zertikat kann auf der Webseite der Anbieter generiert werden. Dieser Vorgang funktioniert bei CAcert.org leider nur mit dem Internet-Explorer (WINDOWS) und aktiviertem ActiveX. Beide CAs generieren dabei den privaten Schlüssel auf dem Rechner des Nutzers. Diese CAs haben keinen Zugri auf den Key (das ist nicht überall so gelöst).
•
Das generierte Zertikat ist in zwei Versionen zu speichern. Erstens ist eine Version mit dem öentlichen und geheimen Schlüssel sicher zu verwahren. Zweitens ist eine Version nur mit dem öentlichen Schlüssel zu speichern. Diese zweite Version kann an beliebige Personen weitergegeben werden.
7.2.2 Erzeugen eines Zertikates Die verschiedenen Certication Authoroties (CAs) bieten ein Webinterface, um nach der Überprüfung der Identität ein signiertes Zertikat zu erstellen. In der Regel stehen zwei Wege zur Auswahl: 1. Der Anbieter (CA) führt den kompletten Vorgang aus: die Generierung des privaten Key inklusive Sicherung mit einer Passphrase, die Generierung des Certication Request (CSR), die Signierung des CSR und die Erstellung der Zertikatsdatei mit privatem und öentlichem Schlüssel.
Einige CAs wie CAcert.org und Thawte haben eine Lösung entwickelt, den privaten Key im Browser des Nutzers zu generieren und nur den CSR (public Key) zur Signatur auf den eigenen Server zu laden. Viele CAs generieren aber beide Schlüssel auf dem eigene Server. 2. Der Anwender generiert den privaten Key und den CSR selbst, lädt nur den CSR auf den Server des Anbieters, der CSR wird dort signiert und als Zertikat wieder zum Download bereitgestellt. Da die Sicherheit asymmetrischer Verschlüsselung davon abhängt, dass nur der Anwender Zugri auf den privaten Schlüssel hat, sollte man sich die Mühe machen und den zweiten Weg gehen. Anderenfalls ist es möglich, dass der private Schlüssel bereits vor der ersten Verwendung kompromittiert wird. Man kann den Certication Authorithies zwar vertrauen, wirklich sicher kann man nur sein, wenn man den privaten Key selbst erzeugt hat! Die OpenSSL-Bibliothek bietet alles Nötige. Die Tools sind unter Linux installiert. Ein grasches Interface ist TinyCA. Das Projekt TinyCA bietet auch eine Live-CD unter http://tinyca.sm-zone.net
7.2.
91
S/MIME MIT THUNDERBIRD
Schrittweise Anleitung für die Kommandozeile 1. Generieren eines passwortgeschützten privaten Schlüssels in der Datei
mein.key :
> openssl genrsa -out mein.key -des3 2048 2. Generieren eines Certication Request (CSR) in der Datei mein.csr, die folgenden Daten werden dabei abgefragt:
> openssl req -new -key mein.key -out mein.csr Enter pass phrase for mein.key: .... Country Name (2 letter code) [AU]: DE State or Province Name (full name) []: Berlin Locality Name (eg, city) []: Berlin Organization Name (eg, company) []: privat Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []: Max Musterman Email Address []: [email protected] 3. en CSR übergibt man der CA. Die Datei enthält nur den öentlichen Schlüssel. Die CA signiert diesen CSR und man erhält ein signiertes Zertikat als Datei mein.crt via E-Mail oder als Download Link. 4. Diese Datei kann man an alle Kommunikationspartner verteilen. 5. Für den Import im eigenen E-Mail Client fügt man privaten Schlüssel und signiertes Zertikat zu einer PKCS12-Datei mein.p12 zusammen.
> openssl pkcs12 -export -in mein.crt -inkey mein.key -out mein.p12 Diese passwortgeschützte Datei kann in allen E-Mail Clients importiert werden und sollte sicher verwahrt werden.
7.2.3 S/MIME-Krypto-Funktionen aktivieren Liegt eine Datei mit signiertem Zertikat und geheimem Schlüssel vor, können die S/MIME-Funktionen für ein E-Mail Konto aktiviert werden. Es ist der Dialog mit den Konto-Einstellungen zu önen und in die Sektion S/MIME-
Sicherheit zu wechseln (Bild 7.11). Zuerst ist das persönliche Zertikat zu importieren. Ein Klick auf den Button Zertikate önet den Manager für eigene Zertikate (Bild 7.12). Hier ist der Button Importieren zu wählen und das gespeicherte persönliche Zertikat mit öentlichem und geheimem Schlüssel zu importieren. Es folgt eine Abfrage des Passwortes, mit dem der Zugri auf den geheimen Schlüssel
geschützt
werden
soll
und
evtl.
die
Frage
nach
dem
Passwort,
mit welchem die Datei verschlüsselt wurde. Der Zertikatsmanager ist im Anschluss mit einem Klick auf den Button Ok
zu schlieÿen und in den
92
KAPITEL 7.
E-MAILS VERSCHLÜSSELN
Abbildung 7.11: Kontoeinstellungen zur S/MIME-Sicherheit
Konto-Einstellungen das frisch importierte Zertikat für das Signieren und Entschlüsseln auszuwählen. Sollen alle ausgehenden Nachrichten standardmäÿig signiert werden, kann die entsprechende Option aktiviert werden. Thunderbird bietet die Möglichkeit, das Online Certifate Status Protocol (OCSP) für die Validierung von Zertikaten zu nutzen. Standardmäÿig ist die Nutzung dieser Funktion sinnvoll deaktiviert. Da nur validierte Zertikate für die Verschlüsselung und Signaturprüfung genutzt werden können, muss man das Root Zertikat der ausstellenden CA von der Website herunterladen und importieren. Dies kann vereinfacht werden, wenn man im Dialog Einstellungen in der Sektion Datenschutz auf dem Reiter Sicherheit den Button OCSP... wählt und
Abbildung 7.12: Zertikatsmanager für eigene Zertikate
7.2.
93
S/MIME MIT THUNDERBIRD
die Option OCSP verwenden aktiviert. Damit hat man jedoch keine Möglichkeit zu entscheiden, ob man der CA wirklich vertraut.
7.2.4 Zertikate der Partner und der CA importieren Im Gegensatz zu OpenPGP, das im Internet eine ausgereifte Infrastruktur zur
Verteilung
öentlicher
Schlüssel
bereitstellt,
muss
der
Inhaber
eines
S/MIME-Zertikates selbst die Verteilung übernehmen. Am einfachsten ist es, dem Partner eine signierte E-Mail zu senden. Alle E-Mail Clients mit S/MIME Support können aus der Signatur das Zertikat importieren und tun dies in der Regel ohne Nachfrage.
Bevor der Empfänger einer signierten E-Mail die Signatur prüfen und verschlüsselt antworten kann, muss er das Zertikat verizieren. Viele RootZertikate sind bereits in gängigen E-Mail Clients enthalten. Einige muss der Nutzer jedoch erst selbst importieren. Diese Root-Zertikate stehen auf den Websites der Ausstellers zum Download bereit. Wurde die Gültigkeit veriziert, kann der Empfänger im Anschluÿ verschlüsselt antworten.
Es ist auch möglich, eine Datei nur mit dem öentlichen Schlüssel des Zertikates auf den Rechner des Partners zu transferieren. Dort ist die Datei in Thunderbird zu importieren. Für den Import eines Zertikates in Thunderbird ist der Dialog Einstellun-
gen zu önen. In der Sektion Datenschutz auf dem Reiter Sicherheit ist der Button Zertikate zu wählen (Bild 7.13), um die Verwaltung zu önen.
Abbildung 7.13: Dialog Sicherheits-Einstellungen
Im Zertikatsmanager ist auf dem Reiter Zertikate anderer Personen der Button Importieren zu nden, welcher eine Dateiauswahl önet, um das erhaltene Zertikat aus einer lokal gespeicherten Datei zu importieren.
Die Root-Zertikate weiterer Certication Authorities (CAs) können auf dem Reiter Zertizierungsstellen importiert werden.
94
KAPITEL 7.
E-MAILS VERSCHLÜSSELN
7.2.5 Nachrichten verschlüsseln und signieren Wenn das persönliche Zertikat bestehend aus öentlichem und geheimem Schlüssel importiert wurde, ist es möglich, signierte E-Mails zu versenden. Wurden Zertikate mit den öentlichen Schlüsseln der Kommunikationspartner importiert, kann die Nachricht auch verschlüsselt werden.
Abbildung 7.14: Verschlüsseln oder Signieren einer E-Mail
Für die Wahl der Optionen steht im Editor einer neuen Nachricht der Button
S/MIME
zur
Verfügung.
Klickt
man
auf
den
kleinen
schwarzen
Pfeil unmittelbar neben dem Button S/MIME, önet sich das im Bild 7.14 dargestellte Menü zum Festlegen der Kryptographie-Optionen für die aktuelle Nachricht. Eine Möglichkeit, für bestimmte Empfänger die Einstellungen für Verschlüsselung dauerhaft festzulegen, bietet Thunderbird in der Standard-Konguration nicht. Man muÿ bei jeder neu verfassten E-Mail daran denken, sie wenn möglich zu verschlüsseln! Das ist sehr fehleranfällig. Eine Lösung bietet das Plug-In
Virtual Identity. Es kann bei jeder ver-
sendeten E-Mail die gewählten Einstellungen für die Verschlüsselung speichern. Damit
lernt
Thunderbird,
welche
Verschlüsselungseinstellungen
für
welche
Empfänger gelten. Die Einstellungen werden bei jeder neuen E-Mail an den Empfänger als Default aktiviert. Nach der Installation des Plug-Ins muss man unter dem Menüpunkt Extras
- Virtual Identity - Einstellungen die Speicherung der Einstellungen für die Verschlüsselung aktivieren. (Bild 7.15) Unter dem Menüpunkt Extras - Virtual Identity - Datenspeicher ndet
7.3.
ROOT-ZERTIFIKATE IMPORTIEREN
95
Abbildung 7.15: Einstellungen des Plug-In Virtual Identity
man die gesammelten Daten und kann sie auch editieren.
7.3 Root-Zertikate importieren Das Importieren der Zertikate in Web-Browser und E-Mail-Client erspart lästige Nachfragen, ob man einem mit diesem Root-Zertikat signierten Zertikat vertrauen möchte.
7.3.1 Webbrowser Firefox Nutzer des Browsers Firefox klicken auf auf das Root Certicate und aktivieren in dem sich önenden Dialog (Bild 7.16) mindestens den ersten und zweiten Punkt.
7.3.2 E-Mail-Client Thunderbird Für den Import der Root-Zertikate in den E-Mail-Client sind diese lokal zu speichern. In der Regel benötigt man neben dem Class 1 Root Certicate auch das Class 3 Root Certicate, da mit diesem Unterzertikat die E-MailZertikate der Nutzer signiert werden. Nutzer des Browsers Firefox klicken mit der rechten Maustaste auf den Link und wählen aus dem Kontextmenü den Punkt Ziel speichern unter ...
96
KAPITEL 7.
E-MAILS VERSCHLÜSSELN
Abbildung 7.16: Herunterladen eines Zertikates
Abbildung 7.17: Zertikats-Manager von Thunderbird
Anschlieÿend ist Thunderbird zu starten und der Dialog Einstellungen zu önen. In der Sektion Datenschutz / Sicherheit ist der Button Zertikate zu wählen, um den in Bild 7.17 dargestellten Manager für Zertikate zu önen. In diesem Dialog ist auf dem Reiter Zertizierungsstellen
der Button
Importieren zu wählen und das zuvor gespeicherte Zertikat zu importieren. Im Anschluss sind im folgenden Dialog mindestens die ersten beiden Optionen zu aktivieren (siehe Firefox).
7.4 Eine eigene Certication Authority Wer eine eigene Certication Authority (CA) betreiben möchte, benötigt etwas Erfahrung, einige kleine Tools und ein paar Byte Webspace, um das eigene Root-Zertikate, die Revocation List und die Policy der CA dort zum
7.4.
EINE EIGENE CERTIFICATION AUTHORITY
97
Download bereitzustellen. Die OpenSSL-Bibliothek enthält alle nötigen Funktionen, um eine eigene CA zu verwalten. Die Hardcore Version auf der Kommandozeile hat M. Heimpold im Mini-Howto zur Zertikatserstellung beschrieben. http://www.heimpold.de/mhei/mini-howto-zertikaterstellung.htm. Komfortabler geht es mit dem GUI TinyCA (http://tinyca.sm-zone.net). Die Website bietet eine Live-CD zum Download an, so dass ich mir weitere Ausführungen zur Installation sparen kann. Unter Debian GNU/Linux kann man das Tool mit Apt installieren:
# apt-get install tinyca Nach dem Start mit dem Kommando tinyca2 werden in zwei Dialogen die Angaben zum Root-Zertikat der CA abgefragt. Da TinyCA mehrere CAs verwaltet, kann man erst einmal mit einem Test beginnen.
Abbildung 7.18: Anlegen einer neuen CA
Der Common Name der CA kann frei gewählt werden. Das Passwort sollte man sich gut überlegen und keinesfalls vergessen. Mit einem Klick auf Ok erscheint ein zweiter Dialog mit weiteren Angaben zur CA. Wichtig sind hier die URL der Revocation List für zurückgezogene Zertikate und die URL der Policy der CA. Die Policy ist ein HTML-Dokument, welches beschreibt, wer ein Zertikat von dieser CA erhalten kann, also z.B. etwas in der Art: Nur für
persönlich Bekannte! Im Anschluss können die E-Mail Zertikate der Nutzer erstellt werden. Die nötigen Angaben sind selbsterklärend (Bild 7.19. Mit einem Klick auf Ok wird das S/MIME-Zertikat erstellt und mit dem Root-Zertikat der CA signiert.
98
KAPITEL 7.
E-MAILS VERSCHLÜSSELN
Dabei wird das Password für den geheimen Key der CA abgefragt.
Abbildung 7.19: Erstellen eines E-Mail Zertikats
Um einem Nutzer sein Zertikat zur Verfügung zu stellen, ist es in eine Datei zu exportieren. Das PKCS#12-Format (*.p12) enthält den geheimen und den öentlichen Schlüssel, ist mit einem Passwort gesichert und kann von allen E-Mail Clients importiert werden.
Abbildung 7.20: Zertikat exportieren
Das Root-Zertikat der CA ist als DER- oder PEM-Format zu exportieren. Diese Datei enthält nur den öentlichen Schlüssel des Zertikates und kann zum Download bereitgestellt werden. Auÿerdem ist regelmäÿig eine Revocation List mit abgelaufenen oder zurückgezogenen Zertikaten zu erstellen und ebenfalls
7.5.
99
IST S/MIME-VERSCHLÜSSELUNG UNSICHER?
zum Download unter der angegebenen URL bereitzustellen. Die Oberäche bietet für beide Aufgaben einen Button in der Toolbar.
7.5 Ist S/MIME-Verschlüsselung unsicher? Nach
unserer
Einschätzung
ist
die
S/MIME-Verschlüsselung
wesentlich
schwächer, als OpenPGP. Die Ursachen liegen nicht in einer Schwäche der verwendeten Algorithmen, sondern in der Generierung und Speicherung der privaten Schlüssel auÿerhalb der Hoheit des Anwenders. Die Sicherheit asymmetrischer Kryptograe hängt entscheidend von der Vertrauenswürdikeit der privaten Schlüssel ab. Während der öentliche Schlüssel möglichst breit zu verteilen ist, muss die Verfügungsgewalt für den privaten Schlüssel ausschlieÿlich und vollständig(!) in der Hand des Anwenders liegen. Nur so kann gewährleistet werden, dass kein unbefugter Dritter die vertrauliche Kommunikation entschlüsseln kann. Um die Nutzung der S/MIME-Verschlüsselung für unbedarfte Anwender zu erleichtern, wird die Erzeugung und Aufbewahrung der privaten Schlüssel häug durch organisatorische Schwächen kompromittiert.
Der Deutsche Bundestag Der Deutsche Bundestag bietet allen Abgeordneten die Möglichkeit, S/MIME für die Verschlüsselung von E-Mails zu verwenden. Die Abgeordneten sind scheinbar nicht über diese Möglichkeit informiert. Bei der technischen Umsetzung gilt das Prinzip Security by obscurity, wie ein Testbericht zeigt (http://www.heise.de//tp/r4/artikel/27/27182/1.html). Um
die
Abgeordneten
maximal
von
der
komplizierten
Technik
des
Entschlüsseln der E-Mail zu entlasten, erfolgt die Entschlüsselung auf einem zentralen Server des Bundestages. Auf diesem zentralen Server liegen auch die privaten Schlüssel und die Zertikate der Abgeordneten. Damit ist gesichert, dass auch die Sekretärinnen keine Probleme haben, wenn der Absender einer E-Mail diese verschlüsselt und damit sicherstellen wollte, dass nur der Abgordnete selbst sie lesen kann. Hier wird eine Vertraulichkeit der Kommunikation vorgegaukelt. Gefährlich wird dieser Placebo, wenn ein Bürger auf die Sicherheit vertraut und sich gegenüber seinem Abgeordneten freimütiger äuÿert, als er es unverschlüsselt tun würde.
Web.de (Free-) Mail-Account Beim Anlegen eines Mail-Accounts bei Web.de wird automatisch ein S/MIMEZertikat für den Nutzer generiert. Der öentliche und der private Schlüssel liegen auf dem Server des Anbieters. Der Schlüssel ist nicht durch ein Passwort
100
KAPITEL 7.
E-MAILS VERSCHLÜSSELN
geschützt. Dieses Feature wird von Web.de wie folgt beworben:
Versehen Sie Ihre E-Mail mit einer digitalen Unterschrift, kann diese auf dem Weg zum Empfänger nicht verändert werden. Die digitale Verschlüsselung sorgt dafür, dass die E-Mail auf dem Weg zum Empfänger nicht gelesen werden kann. Auÿerdem fordert die Website dazu auf, das Zertikat im eigenen E-Mail Client zu importieren und für die Verschlüsselung zu nutzen. Diese Variante von S/MIME ist ein Placebo, den man ignorieren sollte. Die Werbebotschaft entspricht nicht der Wahrheit. Gemäÿ geltendem Recht ist die E-Mail beim Empfänger angekommen, wenn der Empfänger Gelegenheit hatte, sie zur Kenntnis zu nehmen. Vorher kann sie jedoch auf dem Server von Web.de entschlüsselt werden (auch von stattlichen Stellen).
Projekt De-Mail Auch das geplante Portale De-Mail für die rechtsverbindliche und sichere deutsche Alternative zur E-Mail soll X.509 Zertikate für die Gewährleistung der vertraulichen Kommunikation nutzen. Aufgrund der beschriebenen Anforderungen an die Benutzbarkeit ist davon auszugehen, dass auch bei diesem Projekt die privaten Schlüssel auf dem Server des Anbieters liegen sollen. Wie selbst erzeugte Schlüssel integriert werden können, ist noch unklar. Das Projekt wirbt mit einer engen Integration des neuen elektronischen Personalausweises. Dieser ePA soll auf Wunsch ein digitales Zertikat und einen privaten Key enthalten. Diese werden technisch bedingt natürlich beim Aussteller des ePA erzeugt und beglaubigt. Auch die Passphrase für den Zugri soll nicht vom Anwender frei wählbar sein. Es wird eine mehrstellige PIN zugewiesen. Das Projekt De-Mail wird in Zusammenarbeit mit dem ePA einen KeyEscrow (Hinterlegung der Schlüssel bei den Behörden) für unbedarfte Anwender vorrantreiben. Den Anwendern wird eine Sicherheit vorgegaukelt, die durch Behörden einfach kompromittiert werden kann.
Schluÿfolgerung Im
Gegensatz
zu
OpenPGP
kann
man
bei
S/MIME
nicht
sicher
davon
ausgehen, dass der Gegenüber seinen privaten Schlüssel selbst generiert hat und dass der Schlüssel ausschlieÿlich ihm zur Verfügung steht. Es besteht damit die Gefahr, dass die Vertraulichkeit der Kommunikation nicht umfassend gewährleistet ist.
7.6.
101
EINE BEMERKUNG ZUM ABSCHLUß
In extremen Fällen ist die angebotene Verschlüsselung nur ein Placebo. Staatliche Projekte wie der ePA zusammen mit dem Projekt De-Mail weichen die Sicherheit der S/MIME Verschlüsselung weiter auf.
7.6 Eine Bemerkung zum Abschluÿ Mache ich mich verdächtig, wenn ich meine E-Mails verschlüssel? Eine Frage, die häug gestellt wird, wenn es um verschlüsselte E-Mails geht. Bisher gab es darauf folgende Antwort:
Man sieht es einer E-Mail nicht an, ob sie verschlüsselt ist oder nicht. Wer befürchtet, dass jemand die Mail beschnüelt und feststellen könnte, dass sie verschlüsselt ist, hat einen Grund mehr, kryptograsche Verfahren zu nutzen! Aktuelle Ereignisse zeigen, dass diese Frage nicht mehr so einfach beantwortet werden kann. Dem promovierten Soziologen Andrej H. wurde vorgeworfen, Mitglied einer terroristischen Vereinigung nach 129a StGB zu sein. Der Haftbefehl gegen ihn wurde unter anderem mit
konspirativem Verhalten
begründet, da er seine E-Mails verschlüsselte. Am 21.Mai 2008 wurden in Östereich die Wohnungen von Aktivisten der Tierrechtsszene durchsucht und 10 Personen festgenommen. Der Haftbefehl wurde mit Verdunklungsgefahr begründet, da die Betroenen z.B. über verschlüsselte E-Mails kommunizierten. Am 18.10.07 hat der Bundesgerichtshof (BGH) in seinem Urteil Az.: StB 34/07 den Haftbefehl gegen Andrej H. aufgehoben und eindeutig festgestellt, dass die Verschlüsselung von E-Mails als Tatverdacht NICHT ausreichend ist, entscheidend sei der Inhalt:
Ohne eine Entschlüsselung der in den Nachrichten verwendeten Tarnbegrie und ohne Kenntnis dessen, was bei den - teilweise observierten und auch abgehörten - Treen zwischen dem Beschuldigten und L. besprochen wurde, wird hierdurch eine mitgliedschaftliche Einbindung des Beschuldigten in die 'militante gruppe' jedoch nicht hinreichend belegt. Auÿerdem geben die Richter des 3. Strafsenat des BGH zu bedenken, dass Andrej H. ersichtlich um seine Überwachung durch die Ermittlungsbehörden
wusste . Schon allein deshalb konnte er ganz allgemein Anlass sehen , seine Aktivitäten zu verheimlichen. Woher Andrej H. von der Überwachung wusste, steht bei http://annalist.noblogs.org. Trotz dieses Urteils des BGH bleibt für uns ein bitterer Nachgeschmack über die Arbeit unser Ermittler und einiger Richter. Zumindest die Ermittlungsrichter sind der Argumentation der Staatsanwaltschaft gefolgt und haben dem Haftbefehl erst einmal zugestimmt.
Kapitel 8
E-Mail jenseits der Überwachung Auch bei der Nutzung von GnuPG oder S/MIME für die Verschlüsselung von E-Mails ist es mitlesenden Dritten möglich, Absender und Empfänger zu protokollieren und anhand der erfassten Daten Kommunikationsprole zu erstellen. Insbesondere die Vorratsdatenspeicherung und die darauf aufbauenden internationalen ESTI-Standards für Geheimdienste und Strafverfolger zeigen, dass diese nicht verschlüsselbaren Informationen für die Überwachung bedeutsam sind.
Es gibt mehrere Projekte, die einen überwachungsfreien Austausch von Nachrichten ermöglichen und somit beispielsweise für investigative Journalisten und deren Informanten den nötigen Schutz bieten und die Erstellung von Kommunikationsprolen für E-Mails behindern. Eine universelle Lösung auf Knopfdruck gibt es nicht. Jeder muss selbst die verschiedenen Möglichkeiten vergleichen und die passende Lösung auswählen.
8.1 AnonBox des CCC Der Chaos Computer Club bietet mit der AnonBox ein webbasiertes Iinterface unter https://anonbox.net/index.de.html, welches sehr einfach das Anlegen und Abfragen eines anonymen Postfaches erlaubt. Das Postfach ist für 24-48h verfügbar. Es wird um Mitternacht des folgenden Tages gelöscht.
Um eine hohe Anonymität zu gewährleisten, empfehlen die Betreiber, JonDonym oder Tor für den Besuch der Website zu nutzen.
Die SSL-Verschlüsselung der Website basiert auf einem Zertikat von CAcert.org. Bisher vertraut kein Browser dieser CA by default. Um nicht jedesmal mit einer Frage belästigt zu werden, kann man das Root-Zertikat und das Class3-Zertikat von der Website http://www.cacert.org importieren.
102
8.2.
PRIVACYBOX DER GPF
103
8.2 PrivacyBox der GPF Die PrivacyBox unter https://privacybox.de ermöglicht es, anonyme Nachrichten zu empfangen. Sie bietet in erster Linie Journalisten, Bloggern u.a. eine vorratsdatenfreie und anonyme Kontaktmöglichkeit für Informanten, steht aber auch anderen Interessenten oen. Auf der Website ist ein Account anzulegen und anschlieÿend zu kongurieren. Eingehende Nachrichten können via POP3-SSL abgerufen werden (auch als Tor Hidden POP3 Service) oder an einen externen E-Mail bzw. I2P-Mail Account weitergeleitet werden. Die eingehenden Nachrichten werden mit OpenPGP oder S/MIME verschlüsselt, wenn der Empfänger einen Key bereitstellt. Die PrivacyBox ist eine Einbahnstrasse, es können nur Nachrichten empfangen werden. Sie ist auch als Tor Hidden Service erreichbar unter der Adresse http://c4wcxidkfhvmzhw6.onion oder als eepsite im Invisible Internet unter der Adresse http://privacybox.i2p.
8.3 Anonyme E-Mail Accounts Im Kapitel Anonymisierungsdienste gibt es Anleitungen, wie man mit JonDo & Thunderbird oder mit Tor & Thunderbird einen anonymen E-Mail Account nutzen könnte. Im Unterschied zu den den oben genannten Web-Diensten ist die Einrichtung etwas aufwendiger. Das Invisible Internet Project (I2P) bietet mit Susimail einen anonymen Mailservice inclusive SMTP- und POP3-Zugang und Gateway ins Web.
8.4 Tor Messaging Man kann Nachrichten nicht nur per E-Mail austauschen. Eine Alternative ist es, die Nachrichten im Webinterface zu schreiben und zu lesen. Das vereinfacht die Nutzung. Tor Privat Messaging unter http://4eiruntyxxbgfv7o.onion/pm/ ist ein Tor Hidden Service im Onionland, um Textnachrichten unbeobachtet auszutauschen. Wer Probleme mit der Installation von Tor hat oder unterwegs ist, kann https://torproxy.net nutzen.
8.5 Mixmaster Remailer Der Versand einer Nachricht über Remailer-Kaskaden ist mit der Versendung eines Briefes vergleichbar, der in mehreren Umschlägen steckt. Jeder Empfänger innerhalb der Kaskade önet einen Umschlag und sendet den darin enthaltenen Brief ohne Hinweise auf den vorherigen Absender weiter. Der letzte Remailer der Kaskade liefert den Brief an den Empfänger aus. Technisch realisiert wird dieses Prinzip mittels asymmetrischer Verschlüsselung. Der Absender wählt aus der Liste der verfügbaren weltweit verteilten Remailer verschiedene Server aus, verschlüsselt die E-Mail mehrfach mit den
104
KAPITEL 8.
E-MAIL JENSEITS DER ÜBERWACHUNG
Abbildung 8.1: Konzept einer anonymen E-Mail
öentlichen Schlüsseln der Remailer in der Reihenfolge ihres Durchlaufes und sendet das Ergebnis an den ersten Rechner der Kaskade. Dieser entschlüsselt mit seinem geheimen Schlüssel den ersten Umschlag, entnimmt dem Ergebnis die Adresse des folgenden Rechners und sendet die jetzt (n-1)-fach verschlüsselte E-Mail an diesen Rechner. Der letzte Rechner der Kaskade liefert die E-Mail an den Empfänger aus. Mitlesende Dritte können lediglich protokollieren, dass der Empfänger eine E-Mail unbekannter Herkunft und evtl. unbekannten Inhaltes (verschlüsselt mit OpenPGP oder S/MIME) erhalten hat. Es ist ebenfalls möglich, Beiträge für News-Groups anonym zu posten. Um die Trac-Analyse zu erschweren, wird die Weiterleitung jeder E-Mail innerhalb der Kaskade verzögert. Es kann somit 2. . . 12h dauern, ehe die Mail dem Empfänger zugestellt wird!
Wichtig: da die E-Mail keine Angaben über den Absender enthält, funktioniert der Antworten-Button der Clients auf der Empfängerseite nicht! Der Text der E-Mail sollte einen entsprechenden Hinweis enthalten!
8.5.1 Remailer-Webinterface nutzen Die einfachste Möglichkeit, eine anonyme E-Mail zu schreiben, besteht darin, ein Webinterface zu nutzen. Es gibt verschiedene Angebote im Internet:
•
https://www.awxcnx.de/anon-email.htm
•
https://www.bananasplit.info/cgi-bin/anon.cgi
•
https://www.cotse.net/cgi-bin/mixmail.cgi
Verglichen mit der lokalen Installation eines Remailer Clients ist dies die zweitbeste Möglichkeit, eine anonyme E-Mail zu versenden. Den Betreibern der Server liegen alle Daten im Klartext vor und sie könnten diese beliebig protokollieren.
8.6 Quicksilver für WINDOWS Die folgenden Kapitel erläutern den Einsatz von Quicksilver unter WINDOWS zur Versendung anonymer E-Mails. Für den Empfang von E-Mails kann der
8.6.
105
QUICKSILVER FÜR WINDOWS
Standard-Mail-Client genutzt werden, welcher um eine Komponente zur Entschlüsselung von E-Mails erweitert wurde, z.B. Thunderbird (der E-Mail-Client der Mozilla-Foundation) mit dem EnigMail-PlugIn.
Abbildung 8.2: Quicksilver Installation
8.6.1 Installation von Quicksilver Quicksilver für WINDOWS steht als selbstentpackendes Archiv QS1.2.x.exe unter folgender Adresse zum Download bereit: ftp://ftp.quicksilvermail.net/pub/quicksilver/ Nach dem Download ist die EXE-Datei zu starten und den Anweisungen des Setup zu folgen. Unter WINDOWS XP sollte das Setup nicht(!) als Administrator sondern unter dem später genutzten Account gestartet werden. Während der Installation ist der für die Versendung zu nutzende E-Mail-Account und SMTP-Server anzugeben (Bild 8.2). Auf Grundlage dieser Angaben wird ein Template für die Erstellung neuer E-Mails generiert. Dieses Template kann bei Bedarf später modiziert werden. Nach dem Abschluss der Installation ist Quicksilver zu starten um die weitere benötigten Komponenten einzurichten. Für das Versenden von E-Mails werden zusätzlich Mixmaster und das PGP-PlugIn benötigt. Unmittelbar nach dem ersten Start erkennt QS, das Mixmaster noch nicht installiert ist und fordert sie auf, diese Komponente zu installieren. In dem sich önenden Dialog sollte Get Mixmaster gewählt werden, da ohne diese Komponente Quicksilver nicht nutzbar ist. Mixmaster
ist
unter
der
gleichen
FTP-Adresse
zu
nden
wie
Quick-
silver und der folgende Dialog des Update-Wizard mit der Frage nach dem
106
KAPITEL 8.
E-MAIL JENSEITS DER ÜBERWACHUNG
FTP-Verzeichnis kann mit dem Button Next betätigt werden, um das StandardVerzeichnis zu nutzen.
Sollte der Download mit Quicksilver nicht funktionieren, kann die Datei
Mix2x.zip mit einem Browser von der angebenen Quelle geholt und lokal gespeichert werden. In der Drop-Down-Liste ist der Punkt Local File an Stelle des FTP-Servers zu wählen, um diese Datei zu installieren. Funktioniert der FTP-Download, ist in der Liste das Mixmaster-Archiv Mix2x.zip auszuwählen und die Auswahl mit dem Button Next zu bestätigen.
Nach dem Download ist das Setup für Mixmaster auszuführen. Im folgenden Dialog ist der Button Run Setup zu wählen.
Abbildung 8.3: Zufallsgenerator initialisieren
Nach der üblichen Auswahl des Installationsverzeichnisses wird Mixmaster installiert und gestartet. Für die Initialisierung des Zufallsgenerators ist es nötig, im folgenden Fenster mit der Maus Bewegungen auszuführen, bis eine hinreichende Entropie angesammelt wurde (100%).
Es ist insbesondere bei der Versendung anonymer E-Mails sinnvoll, diese zu verschlüsseln. Für diese Verschlüsselung ist ein weiteres Plug-In nötig. Quicksilver bietet ein GnuPG-PlugIn für diese Aufgabe, welches über den Menüpunkt Help - Update Wizard installiert werden kann.
In dem sich auf die Auswahl des Download-Servers folgend önende Dialogbox ist die GnuPG-Komponente QSpgp1.1.x.zip zu wählen und die Auswahl mit dem Button Next zu bestätigen. (siehe Bild 8.4) Nach dem Download ist das Setup mit einem Klick auf den Button Run
Setup zu starten. Weitere Angaben sind für die Installation des Plug-Ins nicht nötig.
8.6.
107
QUICKSILVER FÜR WINDOWS
Abbildung 8.4: PGP-Archiv auswählen
8.6.2 PGP-Schlüssel verwalten Soll
eine
E-Mail
verschlüsselt
versendet
werden,
ist
es
als
erstes
nötig,
den öentlichen PGP-Schlüssel des Empfängers zu importieren. Die PGPSchlüsselverwaltung kann über den Menüpunkt Keyring - Open - Personal Pgp oder über das Toolbar-Icon mit dem blauen Schlüssel geönet werden. Der öentliche Schlüssel des Empfängers kann über den Toolbar-Button
Importieren aus einer Datei oder der Zwischenablage importiert werden. Die einfache Schlüsselverwaltung von Quicksilver bietet keine Möglichkeit, die Schlüsselserver im Internet zu durchsuchen. Komfortabler lassen sich die Schlüssel beispielsweise mit Enigmail für Thunderbird oder dem Tool GPA verwalten. Mit Quicksilver lassen sich diese Schlüsselringe nutzen. Es ist der Kongurationsdialog unter Tools -> Options zu önen und auf den Reiter PGP zu wechseln (Bild 8.5). Hier sind die mit anderen Tools verwalteten Schlüsselringe einzutragen. Diese Schlüsselringe liegen bei der Nutzung von GnuPG normalerweise im Verzeichnis C:/Dokumente und Einstellungen/ ihr Name /Anwendungsda-
ten/gnupg/ und haben die Endung *.gpg! Es muss die Option alle Dateien anzeigen im Dateiauswahldialog aktiviert werden. Der Button Advanced führt zu einem Dialog, welcher die Auswahl eines alternativen Programms zur Schlüsselverwaltung ermöglicht. Hier könnte zum Beispiel Thunderbird gewählt werden.
8.6.3 Remailer-Listen aktualisieren Quicksilver benötig Informationen über die nutzbaren Remailer, die unterstützten Featuren und die öentlichen Schlüssel der Remailer. Diese Informationen werden von mehreren Servern im Internet gesammelt und zum Download
108
KAPITEL 8.
E-MAIL JENSEITS DER ÜBERWACHUNG
Abbildung 8.5: PGP-Schlüsselbund auswählen
bereitgestellt. Quicksilver benötigt aktuelle Kopien von folgenden Dateien, die nicht älter als 24h sein sollten. Vor dem Senden einer E-Mail oder News sind diese Dateien zu aktualisieren:
mlist.txt Liste der nutzbaren Mixmaster Remailer. rlist.txt Liste der nutzbaren Cypherpunk Remailer. pubring.mix Schlüsselring der Mixmaster Remailer. pubring.asc Schlüsselring der Cypherpunk Remailer. Für das Update der Listen ist der Menüpunkt Tools - Remailers zu wählen. In dem sich önenden Dialog (Bild 8.6) sind die Checkboxen wie gezeigt zu aktivieren und der Prozess mit einem Klick auf den Button Update zu starten. Treten Fehler beim Update-Prozess auf, ist evtl. der gewählte Server nicht erreichbar. Es ist für die Quellen ein anderer Server zu wählen und das Update zu wiederholen. Mehrere Server sind standardmäÿig bereits konguriert. Eine aktuelle Liste bietet http://www.noreply.org/allpingers/allpingers.txt. Die dort genannten Downloadquellen können mit dem URL Manager der Konguration hinzugefügt werden.
8.6.
QUICKSILVER FÜR WINDOWS
109
Abbildung 8.6: Update der Remailer-Listen
Nach dem erfolgreichen Update werden ein oder zwei Fenster zur Verwaltung der Schlüssel geönet, wenn neue Schlüssel gefunden wurden. Wird nur ein Fenster Mixmaster Keyring geönet, ist dieser neue Keyring mit Klick auf das blaue Disketten-Symbol zu speichern und das Fenster kann geschlossen werden. Werden zwei Fenster geönet, sind zuerst im alten Mixmaster Keyring die Schlüssel für Remailer zu löschen, für die im zweiten Fenster aktualisierte Schlüssel bereitgestellt wurden. Anschlieÿend sind die neuen Schlüssel in den Mixmas-
ter Keyring zu übernehmen und beide Fenster können geschlossen werden.
8.6.4 Anonyme E-Mail schreiben Für das Erstellen einer neuen E-Mail ist das Toolbar-Icon ganz links und der Unterpunkt Message zu wählen. Es önet sich ein Fenster mit dem gewählten Template (Bild 8.7). Quicksilver lässt an dieser Stelle den gewohnten Komfort vieler E-Mail-Clients vermissen, ist aber sehr eekiv bedienbar.
Fcc: outbox Host: mail.server.tld, ihr SMTP-Host From: reale Absender-E-Mail-Addr. Diese wird vom ersten Remailer der Kaskade entfernt. Sie ist aber nötig, um die E-Mail korrekt via SMTP zu senden.
Chain: *,*,*; copies=1 Es wird die Remailer-Kaskade festgelegt, welche für die Versendung genutzt wird. Ein Stern überlässt es Quicksilver, einen beliebigen, verfügbaren Remailer für diese Position auszuwählen. Da es möglich sein könnte, dass eine E-Mail nicht ausgeliefert wird, können bis zu 3 Kopien gesendet werden.
To: E-Mail-Addr. des Empfänger
110
KAPITEL 8.
E-MAIL JENSEITS DER ÜBERWACHUNG
Abbildung 8.7: Neue E-Mail schreiben
Subject: Betre-Zeile Leerzeile!!! Inhalt der Nachricht. Der Text unterhalb der doppelten Tilde wird nicht gesendet. Vor dem Senden der Nachricht ist das Toolbar-Icon für die Verschlüsselung zu aktivieren, wenn die Nachricht OpenPGP-konform verschlüsselt werden soll. Ein Klick auf den Button Send übergibt die E-Mail an Mixmaster, welcher eine Kette für die Versendung auswählt und die Message mehrfach verschlüsselt an den SMTP-Server sendet.
Update: Mit der am 18.4.2007 von Deutschen Bundestag beschlossenen Vorratsdatenspeicherung ist der SMTP-Host des Providers zur Speicherung der Daten aller weitergeleiteten E-Mails verpichtet. Es wird damit protokolliert, dass man ein verschlüsselte E-Mails an einen Remailer versendet hat. Der reale Empfänger ist nicht protokollierbar. Um diesen überüssigen Logeintrag zu vermeiden, kann man die Mail direkt dem ersten Remailer der Kaskade übergeben. Der erste Remailer ist eindeutig festzulegen und als auch als SMTP-Host einzutragen. Eine Übersicht über verfügbare Remailer bietet http://www.noreply.org/echolot/mlist2.html Folgende Kombination funktioniert:
Host: awxcnx.de Chain: awxcnx,*,*,*
8.6.
QUICKSILVER FÜR WINDOWS
111
8.6.5 Anonymes News-Posting schreiben Für das Erstellen eines neuen News-Postings wählen sie das Toolbar-Icon für eine neue Nachricht ganz links, den Unterpunkt Usenet Article. Es önet sich das in Bild 8.8 dargestellte Fenster mit dem Template.
Abbildung 8.8: Neuen News-Artikel schreiben
Fcc: outbox Host: mail.server.tld, ihr SMTP-Host From: reale Absender-E-Mail-Addr. Diese wird vom ersten Remailer der Kaskade entfernt.
Chain: *,*,*; copies=1 Es wird die Remailer-Kaskade festgelegt, welche für die Versendung genutzt wirden. Ein Stern überlässt es Quicksilver, einen beliebigen, verfügbaren Remailer für diese Position auszuwählen. Da es möglich sein könnte, dass eine E-Mail nicht ausgeliefert wird, können bis zu 3 Kopien gesendet werden.
To: mail2news Gateway Das Posting wird als E-Mail an ein Mail2News-Gateway gesandt. Dieses Gateway wandelt die E-Mail in einen Usenet Artikel um und versendet diesen an die angebenen Newsgruppen. Eine kurzer Liste aktueller Gateways:
•
mail2news (at) bananasplit.info
•
mail2news (at) dizum.com
•
mail2news (at) reece.net.au
112
KAPITEL 8.
•
E-MAIL JENSEITS DER ÜBERWACHUNG
mail2news (at) m2n.mixmin.net
Newsgroups: News-Gruppen in denen das Posting erscheinen soll. Subject: Betre-Zeile Leerzeile!!! Inhalt des Postings. Ein anonymes News-Posting wird nicht als Posting an einen News-Server versendet, sondern als E-Mail über eine Remailer-Kaskade anonymisiert und anschlieÿend vom Mail2News-Gateway an einen News-Server gesendet.
8.6.6 Weitere Features von Quicksilver SMTP-Authorisierung: Erfordert der für den Versand der E-Mails genutzte Server eine Anmeldung mit Benutzername und Passwort, ist diese unter dem Menüpunkt Tools - Smtp Authentication zu kongurieren. Die nötigen Angaben erfährt man vom Provider oder System-Administrator.
Adressbuch: Quicksilver bietet ein rudimentäres Adressbuch, um Listen häug genutzter E-Mail-Adressen und News-Groups zu speichern. Das Adressbuch kann über den Menüpunkt Tools - Adressbook geönet werden. Die hier zeilenweise eingegebenen Adressen stehen beim Schreiben einer neuen E-Mail zur Verfügung und können mit wenigen Mausklicks übernommen werden.
Abbildung 8.9: Quicksilver Adressbuch
Versand über Mixkaskade: Die Version 2.6 von Quicksilver bietet die Möglichkeit, den externen SMTP-Server für den Versand der E-Mails über Mixkaskaden oder anonymisierende Proxies zu kontaktieren. Dieses Feature dient einer höheren Anonymität gegen mitlesende Dritte auf der Seite
8.7.
MIXMASTER FÜR UNIX/LINUX
113
des Absenders. In der Toolbar einer neuen E-Mail ist der Button Proxy zu nden. Hier kann der zu nutzende Proxy konguriert werden. Sinnvoll ist es, das Onion-Router-Netz (TOR) für die Kontaktierung des SMTPServers zu nutzen.
8.7 Mixmaster für Unix/Linux 8.7.1 Mixmaster installieren (Source) Die Sourcen von Mixmaster stehen unter http://mixmaster.sourceforge.net zum Download bereit. Für die Übersetzung werden die Entwicklerpakete folgender Komponenten benötigt, welche von nahezu allen Distributionen bereitgestellt werden:
•
vi Editor
•
ncurses Bibliothek
•
OpenSSL Bibliothek
•
PCRE Bibliothek
•
zlib Bibliothek
•
OpenPGP Programm (z.B. GnuPG)
Nach dem Download ist das Archiv zu entpacken und in das neu angelegte Verzeichnis zu wechseln. Hier ist das Kommando ./Install einzugeben. Die Installationsroutine stellt einige kurze Fragen und bietet sinnvolle Vorgaben. Als Installationsverzeichnis ist es sinnvoll $HOME/.Mix zu übernehmen. Die Frage Do you want to set up a remailer? ist mit ENTER zu verneinen. Die Meldung Client installation complete. zeigt den erfolgreichen Abschluss der Installation an. Im Anschluÿ können die Remailer Listen initialisiert werden. Diese Listen enthalten die benötigten Informationen über nutzbare Remailer, die unterstützten Features und die öentlichen Schlüssel der Remailer und sollten bei der Versendung einer E-Mail nicht älter als 24h sein.
> ~/.Mix/mixmaster --update-pinger-list > ~/.Mix/mixmaster --update-stats=noreply Sollte der Server noreply nicht erreichbar sein, können deuxpi oder andere Pinger genutzt werden. Eine vollständige Übersicht über alle Mixmaster-Pinger bietet http://www.noreply.org. Zukünftige Updates der Listen können dem Daemon mixmaster-smtp überlassen werden.
114
KAPITEL 8.
E-MAIL JENSEITS DER ÜBERWACHUNG
8.7.2 Mixmaster-SMTP installieren mixmaster-smtp ist ein kleines Perl-Script, welches einen SMTP-Server bereitstellt, der von beliebigen E-Mail Clients versendete Mails an Mixmaster zur anonymen Versendung weiterleitet. Auÿerdem übernimmt es das Update der Remailer Listen bei Notwendigkeit. Die
Sourcen stehen unter https://www.awxcnx.de/wabbel.htm zum Dow-
nload bereit. Nach dem Entpacken des Archives könnte man das Script und die Manualpage mit ./Install nach /usr/local/bin bzw. /usr/local/man/man1 kopieren. Dieser Schritt ist aber nicht zwingend nötig. Das Script im Unterverzeichnis bin/ startet aus beliebigen Verzeichnissen. Das Script benötigt einige Perl Module für die Arbeit. Diese können als User
root via CPAN installiert werden:
# perl -MCPAN -e shell Nachdem die Fragen zur Initialiserung des CPAN-Moduls beantwortet wurden, sind am CPAN-Prompt folgende Kommandos einzugeben:
cpan> install Net::Server::Daemonize cpan> install Net::Server::Mail::ESMTP cpan> exit Im Anschluss sollte das Script mixmaster-smtp problemlos starten. Die nötig Konguration wird in der Regel korrekt erkannt. Kleine Apassungen sind weiter unten beschrieben. Das
Archiv
enthält
im
Verzeichnis
init.d
drei
Startscripte
(für
Debi-
an/Ubuntu, Gentoo und SuSE), um den Daemon beim Booten automatisch zu starten. Diese werden wie folgt installiert:
•
Debian / Ubuntu
# cp init.d/mixmaster-smtp.debian /etc/init.d/mixmaster-smtp # update-rc.d mixmaster-smtp defaults •
SuSE Linux
# cp init.d/mixmaster-smtp.suse /etc/init.d/mixmaster-smtp # insserv mixmaster-smtp
8.7.3 Mixmaster kongurieren Die Konguration erfolgt in der Textdatei $HOME/.Mix/mix.cfg oder global für alle User in der Datei /etc/mixmaster/client.conf. Linux wird an dieser Stelle seinem Ruf als Volltext-Adventure gerecht. Für die Versendung an den ersten Remailer der Kaskade wird ein Name für den Absender und eine Absenderadresse benötigt. Es sind folgende Zeilen in der Konguration hinzuzufügen:
8.7.
MIXMASTER FÜR UNIX/LINUX
NAME
realer Name
ADDRESS
reale E-Mail Adresse
115
Mixmaster sollte für die Versendung der anonymen E-Mails an den ersten Remailer der Kaskade möglichst den lokalen Mail Transfer Agenten nutzen, um eine überüssige Protokollierung durch den Mailserver des Providers zu vermeiden. Wenn sendmail funktioniert, ist folgende Vorgabe korrekt: SENDMAIL
sendmail -t
Soll statt dessen ein lokaler oder externer SMTP-Server für die Versendung genutzt werden, ist statt SENDMAIL folgende Zeile hinzuzufügen: SMTPRELAY
mail.server.tld
Erfordert der SMTP-Server eine Anmeldung via SMTP-Auth, sind folgende Zeilen in der Kongurationsdatei hinzuzufügen: SMTPUSERNAME
SMTP-UserName
SMTPPASSWORD
SMTP-Passwort
Ausserdem sind in der Konguration die Schlüsselringe für OpenPGPVerschlüsselung anzugegeben. Verwendet man GnuPG, sind folgende Zeilen korrekt: PGPPUBRING
/home/<username>/.gnupg/pubring.gpg
PGPSECRING
/home/<username>/.gnupg/secring.gpg
8.7.4 Mixmaster-SMTP kongurieren Mixmaster-SMTP nutzt die Kongurationsdatei $HOME/.Mix/smtp.conf oder global für alle User in der Datei /etc/mixmaster/smtp.conf. Ein Beispiel ist im Verzeichnis conf des Quellpaketes enthalten. Wer eine ältere Version von mixmaster vor 3.0rc1 nutzt, muss das Update der Remailer Statistiken in der Konguration deaktivieren und sich selbst drum kümmern: REMAILER_UPDATE
no
Das von P. Palfrader betreute Mixmaster-Paket für Debian GNU/Linux enthält ein eigenes Script für das Update. Wer dieses Paket nutzt, sollte das Update entsprechend kongurieren: REMAILER_UPDATE
debian
Wer die Software für den Onion Router (Tor) installiert hat, kann dieses Netzwerk nutzen, um keine Spuren in den Logs des Providers zu hinterlassen: TORIFY_UPDATES
yes
116
KAPITEL 8.
E-MAIL JENSEITS DER ÜBERWACHUNG
8.7.5 Installation für Debian GNU/Linux Debian GNU/Linux und Ubuntu enthalten ein fertiges mixmaster -Paket. Für
mixmaster-smtp gibt es ein Packet im Wabbel-Repository. Die Einbindung des Wabbel-Repository ist auf der Website https://www.awxcnx.de/wabbel.htm beschrieben. Anschlieÿend spülen die folgenden Kommandos alles nötige auf die Platte und starten den Daemon mixmaster-smtp
# apt-get update && aptitude install mixmaster mixmaster-smtp Alle
Pakete
Versendung
sind
einer
sinnvoll
E-Mail
an
konguriert. den
ersten
Lediglich Remailer
die der
Identität
für
Kaskade
ist
die in
/etc/mixmaster/client.conf zu kongurieren: NAME
realer Name
ADDRESS
reale E-Mail Adresse
Sollte der Provider die Versendung von E-Mails von lokalen Rechnern unterbinden (Spamschutz), ist ein SMTPRELAY wie oben beschrieben, in der Datei
/etc/mixmaster/client.conf zu kongurieren.
8.7.6 Anonyme E-Mails mit Mixmaster versenden Wer mit dem
Editor vi vertraut ist, kann Mixmaster auf der Kommandozeile
starten,
dem
mit
integrierten
Editor
eine
E-Mail
schreiben
und
anonym
versenden.
mixmaster-smtp bietet die Möglichkeit, eine E-Mail mit dem bevorzugten E-Mail Client zu schreiben, zu verschlüsseln und zur anonymen Versendung an Mixmaster zu übergeben. Auch das Update der Remailer Statistiken übernimmt das Script bei Bedarf. Das folgende Kommando in einer Konsole(!) startet den Daemon etwas geschwätzig, wenn er nicht beim Booten gestartet wurde:
> mixmaster-smtp --verbose Evtl. ist der vollständige Pfad zum Script anzugeben. Es startet ein SMTP-Server, welcher unter der Adresse localhost:8025 auf E-Mails wartet. Im E-Mail Client ist ein weiterer SMTP-Server für den Versand zu kongurieren und evtl. eine Identität anzulegen. Eine dritte Möglichkeit nutzt einen beliebigen
Texteditor oder besser eine
komplette Textverarbeitung mit Rechtschreibprüfung und Vorlagenverwaltung, um die E-Mail auf Basis der folgenden Vorlage zu schreiben, als TXT-Datei zu speichern und diese mit Mixmaster anonym zu versenden.
To: Subject: Mime-Version: 1.0 Content-Type: text/plain; charset=''utf-8'' Content-Transfer-Encoding: 8bit
8.7.
117
MIXMASTER FÜR UNIX/LINUX
Hallo alle miteinander, hier beginnt der Inhalt In den ersten beiden Zeilen ist die E-Mail-Adresse des Empfängers und der Betre der Nachricht einzutragen. Zwischen dem Header und dem eigentlichen Inhalt ist eine Leerzeile frei zu lassen. Nachdem die Nachricht geschrieben wurde, ist die Datei unter einem neuen Namen als TXT-Datei zu speichern, beispielsweise unter $HOME/anon-
email.eml. Diese E-Mail kann mit den folgenden Befehlszeilen versendet werden, welche für häuge Nutzung auch als Shell-Script gespeichert werden können:
> > > >
~/.Mix/mixmaster --update-stats=deuxpi ~/.Mix/mixmaster -m ~/anon-email.eml ~/.Mix/mixmaster -S shred -u ~/anon-email.eml}
Der erste Befehl aktualisiert die Remailer-Statistiken und kann entfallen, wenn diese nicht älter als 24h sind. Unter Debian GNU/Linux ist mixmaster-
update zu nutzen. Die zweite Befehlszeile übernimmt die Nachricht, wählt die Remailer-Kette aus und legt eine vorbereitete E-Mail im Spool-Verzeichnis ab. Der dritte Aufruf von Mixmaster versendet alle Mails aus dem Spool-Verzeichnis und der letzte Befehl beseitigt die Datei, indem sie zuerst mit Nullen überschrieben und anschlieÿend gelöscht wird. Soll die E-Mail an der Empfänger OpenPGP verschlüsselt ausgeliefert werden, ist die zweite Befehlszeile zusätzlich um die Option encrypt
zu
erweitern. Im Prinzip ist es auch möglich, Attachements an eine anonyme E-Mail zu hängen. Viele Remailer entfernen diese jedoch. Einige Remailer lassen Attachements bis zu 100KB passieren. Ich bin der Meinung, man kann auf Anhänge verzichten und werde hier nicht weiter darauf eingehen.
8.7.7 Anonymes News-Posting mit Mixmaster versenden Wer mit dem Editor vi vertraut ist, kann Mixmaster auf der Kommandozeile starten, mit dem integrierten Editor ein News-Posting schreiben und anonym versenden. Eine zweite Möglichkeit nutzt einen beliebigen
Texteditor oder besser eine
komplette Textverarbeitung mit Rechtschreibprüfung und Vorlagenverwaltung, um das Posting auf Basis der folgenden Vorlage zu schreiben, als TXT-Datei zu speichern und diese mit Mixmaster anonym zu versenden.
To: [email protected], [email protected] Newsgroups:
118
KAPITEL 8.
E-MAIL JENSEITS DER ÜBERWACHUNG
X-No-Archive: Yes Subject: Mime-Version: 1.0 Content-Type: text/plain; charset=``utf-8''; Content-Transfer-Encoding: 8bit Ich möchte folgendes veröffnetlichen: blabla Zwischen dem Header und dem eigentlichen Inhalt ist eine Leerzeile frei zu lassen. Ein anonymes News-Posting wird per E-Mail an ein Mail2News Gateway geschickt. Diese E-Mail wird durch die Remailer-Kaskade anonymisiert. Das Gateway wandelt die anonyme E-Mail in ein News-Posting um und schickt es an die Newsgroups. Eine kurzer Liste aktueller Gateways:
•
mail2news (at) bananasplit.info
•
mail2news (at) dizum.com
•
mail2news (at) reece.net.au
•
mail2news (at) m2n.mixmin.net
Nachdem die Nachricht geschrieben wurde, ist die Datei im TXT-Format unter einem neuen Namen zu speichern, beispielsweise unter $HOME/anon-news.eml. Diese Datei kann mit den folgenden Befehlszeilen an die Newsgroups gesendet werden:
> > > >
~/.Mix/mixmaster --update-stats=hermetix ~/.Mix/mixmaster -m ~/anon-news.eml ~/.Mix/mixmaster -S shred -u /home/<username>/anon-news.eml
Der erste Befehl aktualisiert die Remailer-Statistiken und kann entfallen, wenn diese nicht älter als 24h sind. Unter Debian GNU/Linux ist mixmaster-
update zu nutzen.
8.8 E-Mails anonym empfangen 8.8.1 Dauerhafter Nym-Account Für
anonyme
Nutzung
von
Antworten
via
Nym-Accounts.
E-Mail Ein
bietet
das
Nym-Account
Mixmaster ist
ein
Netzwerk
Postfach,
die
welches
die Identität des Inhabers versteckt. Eingehende E-Mails werden über eine Remailer Kaskade an die reale Adresse des Nutzers weiter geleitet, wobei jeder Remailer der Kaskade den empfangenen Stu in einen zusätzlichen kryptograschen Umschlag steckt, den nur der richtige Empfänger önen kann. Der
Empfänger
erhält
eine
E-Mail,
die
mehrfach
OpenPGP
konform
verschlüsselt wurde. Er kann jeden Umschlag mit einem nur ihm bekannten Passwort önen und die ursprüngliche Nachricht wieder herstellen.
8.8.
119
E-MAILS ANONYM EMPFANGEN
Die Installation der benötigten Software (Quicksilver bzw. Mixmaster) ist breits beschrieben worden. Nutzer von Quicksilver für WINDOWS sollten zusätzlich das Modul Nym mit Hilfe des Update Wizard installieren. Es vereinfacht die Verwaltung von Nym-Accounts.
Nym-Account einrichten Die folgende kurze Anleitung nutzt den Nym Wizard von Quicksilver für WINDOWS. Wie man mit Texteditor und GnuPG unter Linux arbeit, steht unter http://hp.kairaven.de/quick/quicknym.html. 1. Als erstes ist ein Nym-Server und ein Name für den Account auszuwählen. Bekannte Server sind z.B. nym.alias.net, hod.aarg.net
oder
nym.komite.net. An einen dieser Server schickt man eine leer E-Mail an den Account list, beispielsweise an [email protected]. Die Antwort enthält alle auf diesem Server gehosteten Accounts. Anhand dieser Antwort kann man einen nicht genutzten Namen wählen. 2. Ein OpenPGP-Schlüsselpaar (Typ: RSA!) ist für den gewählten Namen zu erstellen (z.B. für [email protected] ) und der öentliche Teil auf die Schlüsselserver zu exportieren. Um die Anonymität des Accounts zu gewährleisten, sendet man des öentlichen Schlüssel per anonymer E-Mail an einen Schlüsselserver oder nutzt einen Hidden Service des Onion Router Netzes. Die Gültigkeitsdauer des Schlüsselpaares sollte nicht unbegrenzt sein, sondern der geplanten Nutzungsdauer des Accounts entsprechen. 3. Der ten
öentliche
PGP-Schlüssel
Nym-Servers
ist
in
den
des
cong
Accounts
Cypherpunk
Keyring
des
zu
gewähl-
importieren.
http://www.quicksilvermail.net/nymserver.txt enthält alle Schlüssel. Diese Datei kann nach dem Dowload in den Cypherpunk Keyring übernommen werden. Nutzer von Quicksilver önen den Keyring über den Menüpunkt Keyring -> Open -> Cypherpunk und wählen in der Toolbar Import. 4. Ein Reply-Block ist zu erstellen. Der Nym-Wizard von Quicksilver fragt dabei nacheinander die nötigen Angaben ab. Im
in
ler_a gen.
Bild
8.10
und
remailer_b
Die
angezeigten
Seiten
zwei
Template gut
sind
für
erreichbare
die
Werte
Remailer
remai-
einzutra-
http://pinger.bananasplit.info/mlist2.html
oder
http://rlist.ath.cx/mlist2.html listen verfügbare Remailer auf.
Für [email protected]
ist die reale E-Mail Adresse und als passphrasea
. . . passphrasec sind drei Passwörter einzutragen. Mit diesen Passwörtern verschlüsseln die Remailer die eingehende E-Mail symetrisch, bevor sie weitergeleitet wird. Die Entschlüsselung erfolgt mit den gleichen Passwörtern in umgekehrter Reihenfolge. 5. Der erstellte Reply-Block ist als anonyme E-Mail an den cong Account des gewählten Servers zu schicken, z.B. an con[email protected]. Diese EMail ist mit dem Schlüssel des gewünschten Accounts zu signieren und mit dem Schlüssel des Servers zu verschlüsseln. Der Schlüsselserver überprüft die Signatur anhand des öentlichen Schlüssels vom Schlüsselserver! Unter Quicksilver übernimmt der Nym Wizard diesen Schritt.
120
KAPITEL 8.
E-MAIL JENSEITS DER ÜBERWACHUNG
Abbildung 8.10: Nym-Wizard von Quicksilver
6. Nach 1-2 Tagen erhält man eine Antwort vom Nym-Server. Diese Antwort ist an den Nym-Server als Bestätigung zurückzuschicken (signiert und verschlüsselt). 7. Nach weiteren 1-2 Tagen ist der Account freigeschaltet, was mit einer leeren E-Mail an den list Account des Servers überprüfen kann. 8. Die Erreichbarkeit der genutzten Remailer sollte während der Dauer der Nutzung des Accounts regelmäÿig überprüft werden. Ist einer der gewählten Remailer nicht mehr erreichbar, muss an den cong Account des gewählten Servers ein neuer Reply-Block geschickt werden. Einige Pinger stellen die nötigen Informationen über die Erreichbarkeit im Internet bereit, beispielsweise http://rlist.ath.cx/mlist2.html oder http://pinger.bananasplit.info/mlist2.html
Kapitel 9
Im Usenet spurenarm posten Das Usenet ist noch immer eine umfangreiche Quelle für Informationen zu aktuellen Themen. Dabei geht es nicht immer um die im Artikel veröentlichten Informationen. Auch über den Absender läÿt sich viel herausnden. Die folgenden Hinweise sollen eine Recherche zur Erstellung eines Persönlichkeitsproles erschweren:
•
Um eine langfristige Speicherung der Postings zu verhindern sollte ein zusätzlicher Header ins Posting eingefügt werden: X-No-Archive: yes
•
Es sollte ein News-Server genutzt werden, der SSL-Verschlüsselung bietet und möglichst wenig über den Absender preisgibt.
•
Man könnte seine Identität regelmäÿig wechseln, sofern keine besondere Reputation mit einer bestimmten Identität verbunden ist.
•
Mail2News-Gateways können zum Versenden des Postings genutzt werden. Das Posting wird per E-Mail an das Gateway gesendet, welches es dann an den Newsserver übermittelt. In der Regel übernehmen Mail2NewsGateways die Absender- und IP-Adresse. Eine Liste gut erreichbarer Gateways:
mail2news (at) m2n.mixmin.net mail2news (at) dizum.com mail2news (at) bananasplit.info mail2news (at) reece.net.au
•
Remailer bieten die Möglichkeit, anonyme Beiträge zu veröentlichen. Das Posting wird dabei als anonyme E-Mail an ein Mail2News-Gateway gesendet.
Da anonymes Posten insbesondere in deutschen News-Gruppen nicht gern gesehen wird, sollte man gut überlegen, ob es wirklich nötig ist. Ein Pseudonym reicht meistens auch.
121
122
KAPITEL 9.
IM USENET SPURENARM POSTEN
Wer die nötige Installation der Software scheut, kann ein Webinterface nutzen unter:
https://www.awxcnx.de/anon-news.htm https://www.cotse.net/cgi-bin/mixnews.cgi https://www.bananasplit.info/cgi-bin/anon.cgi
9.1 News-Server Der
Server
news.mixmin.net
bietet
SSL-Verschlüsselung
für
den
lesenden
Zugri und einen ebenfalls TLS-verschlüsselten SMTP-Zugang für das Senden von News-Beiträgen. Server-Einstellungen:
News-Server: news.mixmin.net Port: 563 (SSL-verschlüsselt) SMTP-Server: news.mixmin.net Port: 25 (TLS-verschlüsselt) news.mixmin.net verwendet ein
SSL-Zertikat, welches von
CAcert.org
signiert wurde. Standartmäÿig wird diese CA nur von wenigen Newsreadern aktzeptiert. Das Root-Zertikat von CAcert.org ist von http://www.cacert.org zu holen und zu importieren. Die Nutzung von TOR als anonymisierender Proxy ist nach unseren Erfahrungen problemlos möglich.
9.2.
123
THUNDERBIRD KONFIGURIEREN
9.2 Thunderbird kongurieren 1. Anlegen eines neuen SMPT-Servers. Diese Server ndet man im Dialog
Konten... ganz unten. Der bereits kongurierte Standard-Server tut es aber auch (und protokolliert jedes Posting). 2. Erstellen und Einrichten eines News-Kontos. Dabei ist auch der SMTPServer auszuwählen. 3. Hinzufügen des Headers X-No-Archive: yes für das News-Konto.
Im
Einstellungs-Dialog
von
Thunderbird
ndet
man
in
der
Sektion
Erweitert den Reiter Allgemein. Ein Klick auf den Button Konguration bearbeiten önet eine Liste aller Optionen.
Abbildung 9.1: Neue Cong-Variable anlegen
Hier fügt man zwei neue String-Variablen mit folgenden Werten ein (N entspricht dabei der id-Nummer des News-Kontos): mail.identity.idN.headers
archive
mail.identity.idN.header.archive
X-No-Archive: yes
4. Abbonieren der News-Gruppen.
Kapitel 10
Anonymisierungsdienste Anonymisierungsdienste verwischen die Spuren der Nutzer im Internet. Die verschlüsselte Kommunikation verhindert auch die Auswertung des Internetverkehrs durch mitlesende Dritte. Diese Dienste sind nicht nur für den anonymen Zugri auf Websites geeignet. Sie ermöglichen auch eine unbeobachtete, private Kommunikation via E-Mail, Jabber, IRC...
Die
unbeobachtete,
private
Kommunikation
schat
keine
rechtsfreien
Räume im Internet, wie Demagogen des Überwachungsstaates immer wieder behaupten. Sie ist ein grundlegendes Menschenrecht, das uns zusteht. Nach den Erfahrungen mit der Diktatur Mitte des letzten Jahrhunderts ndet man dieses Grundrecht in allen übergeordneten Normenkatalogen, von der UN-Charta der Menschenrechte bis zum Grundgesetz.
Anonymisierungsdienste sind ein Hammer unter den Tools zur Verteidigung der Privatsphäre, aber nicht jedes Problem ist ein Nagel. Das Tracking von Anbietern wie DoubleClick verhindert man eektiver, indem man den Zugri auf Werbung unterbindet. Anbieter wie z.B. Google erfordern es, Cookies und JavaScript im Browser zu kontrollieren. Anderenfalls wird man trotz Nutzung von Anonymisierungsdiensten identiziert.
•
Der Anonymisierungsdienst
JonDonym steht in einer kostenlosen Vari-
ante zur Verfügung, die nur anonymes Surfen ermöglicht, und einer kommerziellen Variante, die viele weitere Protokolle unterstützt.
• Tor Onion Router
ist ein weltweit verteiltes Netzwerk von Knoten. Die
Projektwebsite bietet unter der Adresse https://www.torproject.org umfangreiche Informationen.
•
Das
Invisible Internet Project hat das primäre Ziel, Anonymität so-
wohl für Konsumenten als auch für Anbieter von Angeboten zu bietet. Dieses Ziel läÿt sich nur in einem geschlossenen Netz verwirklichen. Es bietet aber auch die Möglichkeit, auf herkömmliche Websites zuzugreifen.
124
10.1.
VERGLEICH VON JONDO, TOR, I2P UND FREENET
125
10.1 Vergleich von JonDo, Tor, I2P und Freenet Ein kurzer (oberächlicher) Vergleich soll die Unterschiede zwischen verschiedenen Diensten zeigen und Hilfe bei der Entscheidung bieten.
• JonDonym
arbeitet mit wenigen festen Mix-Kaskaden, bestehend aus
zwei oder drei Knoten. Diese Knoten sind leistungsfähige Computer mit schneller Internetanbindung. Die Daten der einzelnen Nutzer werden mehrfach
verschlüsselt
und
weitergeleitet,
um
eine
Erkennung
und
Beobachtung durch Dritte zu vermeiden.
Abbildung 10.1: Prinzip von JonDonym
Der Dienst bietet kostenfrei nutzbare Mix-Kaskaden und Kaskaden, die nur gegen Bezahlung nutzbar sind. 1. Die kostenfreien Kaskaden sind nur für anonymes Surfen und Downloads nutzbar. Sie bestehen aus 2 Mixen. Die Downloadgeschwindigkeit ist limitiert und derzeit unterliegen alle Betreiber der deutschen Juristrikation. 2. Die kostenpichtigen Kaskaden bestehen aus 3 Mixen, die international verteilt sind. Sie bieten eine höhere Anonymität und sind der Downloadgeschwindigkeit nicht limitiert. Mit einem roten, geschwungenen S gekennzeichneten Kaskaden untertützen als Socks-Proxies alle Protokolle im Web (SMTP, POP3, IMAP, BitTorrent, Jabber...). Crime-Detection: Es ist den Betreibern einer Kaskade gemeinsam möglich, auf richterliche Anordnung den Zusammenhang von Surfer und angefragtem Webservice herzustellen. Das Projektteam hat zu diesem Feature eine ausführliche Stellungname auf der Website veröentlicht. Das BKA hat im Jahr 2003 ohne rechtliche Legitimation die Herausgabe von Daten erzwungen. Im Jahr 2006 gab es eine weitere Überwachung. Betroen sind in der Regel nur die kostenfreien Kaskaden, da diese Mix alle der deutschen Juritriktion unterliegen.
Vorratsdatenspeicherung: Mit Beginn des Jahres 2009 setzen die kostenfreien Mixe der TU Dresden und des ULD die Vorratsdatenspeicherung um und haben dazu eine Erklärung veröentlicht. Im Status sind die Kaskaden mit VDS gekennzeichnetund ermöglichen für 6 Monate eine
126
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
rückwirkende Analyse, welche Websites ein Surfer aufgerufen hat. Die Kaskade Jondos-GPF und die kostenpichtigen Mix-Kaskaden speichern keine Daten.
• Tor
nutzt ein weltweit verteiltes Netz von 2000 aktiven Nodes. Aus
diesem Pool werden jeweils 3 Nodes für eine Route ausgewählt. Die Route wechselt regelmäÿig in kurzen Zeitabständen. Die zwiebelartige Verschlüsselung sichert die Anonymität der Kommunikation. Selbst wenn zwei Nodes einer Route kompromittiert wurden, ist eine Beobachtung durch mitlesende Dritte nicht möglich.
Abbildung 10.2: Prinzip von Tor
Da die Route ständig wechselt, müsste ein groÿer Teil des Netztes kompromittiert worden sein, um einen Zusammenhang von Surfer und angefragter Webseite herstellen zu können.
Die weltweite Verteilung der Nodes und der hohe Anteil privater Rechner mit langsamer Internetanbindung kann zu deutlich langsameren Downloads führen.
Tor ist neben Surfen auch für IRC, Instant-Messaging, den Abruf von Mailboxen oder Anderes nutzbar. Dabei versteckt Tor nur die IP-Adresse! Für die sichere Übertragung der Daten ist SSL- oder TLS-Verschlüsselung zu nutzen. Sonst besteht die Möglichkeit, dass sogenannte Bad Exit Nodes die Daten belauschen und an Userkennungen und Passwörter gelangen.
Der
Inhalt
der
Kommunikation
wird
1:1
übergeben.
Für
anonymes
Surfen bedarf es weiterer Maÿnahmen, um die Identizierung anhand von Cookies, der HTTP-Header, ETags aus dem Cache oder Javascript zu verhindern.
Der schwedische Sicherheitsforscher Dan Egerstad demonstrierte, wie man mit einigen schnüelnden TOR-Exit-Nodes in kurzer Zeit die Account Daten der E-Mail Postfächer von mehr als 1000 unvorsichtigen Usern erfassen kann, unter anderem von 200 Botschaften.
10.1.
127
VERGLEICH VON JONDO, TOR, I2P UND FREENET
Auf
der
Black
Verschlüsselung
Hack
2009
beschrieben,
wurde der
ein
Angri
hauptsächlich
auf die
die
HTTPS-
Schwächen
vor
der Tastatur zwischen den zwei Ohren ausnutzt. Er wurde erfolgreich mit einem Bad Exit Node im Tor-Netz getestet. Innerhalb von 24h konnten folgende Account-Daten erschnüelt werden: 114x Yahoo, 50x GMail, 9x Paypal, 9x Linkedin und 3x Facebook.
Dass die Geheimdienste an der Anwendung der Ergebnisse von Dan Egerstad sind, zeigen Gespräche mit befreundeten Tor-Admins. Sowohl deutsche Dienste als auch der israelische Mossad sind bereits an TorAdmins mit der Bitte um Kooperation herangetreten. Da diese Dienste durchaus Druckmittel haben, ist davon auszugehen, dass in einigen Fällen kooperiert wird oder dass die Dienste selbst Tor-Nodes betreiben.
Tor bietet nicht nur die Möglichkeit, anonym auf verschiedene Services im Web zuzugreifen, sondern mit den Hidden Services im Tor-Netz auch eine Möglichkeit, anonym und zensurresistent zu publizieren.
• I2P
das Invisible Internet Project hat das Ziel, Anonymität sowohl für
Konsumenten als auch für Anbieter von Diensten zu bieten. Dieses Ziel läÿt sich nur in einem geschlossenen Netz verwirklichen.
Es wird die Infrastruktur des WWW genutzt, um in einer darüber liegenden
komplett
verschlüsselten
Transportschicht
ein
anonymes
Kommunikationsnetz zu bilden. Der Datenverkehr wird mehrfach verschlüssellt über ständig wechselnde Teilnehmer des Netzes geleitet. Der eigene I2P-Router ist auch ständig an der Weiterleitung von Daten für andere Nutzer beteiligt. Das macht die Beobachtung einzelner Teilnehmer durch Dritte nahezu unmöglich.
Abbildung 10.3: Prinzip von I2P
Das Projekt bietet einen Java-basierten Client. Dieser Client verschlüsselt den gesamten Datenverkehr. Auÿerdem stellt er sicher, dass ständig neue Verbindungen zu anderen Rechnern des Netzwerkes aufgebaut werden.
Die im Invisible Internet bereitgestellten Angebote sind nicht lokalisierbar.
128
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
Neben Websites (sogenannten eepsites ) gibt es spezielle Möglichkeiten für E-Mails, Foren oder Filesharing. Da die Nutzung der Angebote mit technischen Hürden verbunden ist, sind diese Angebote weit weniger frequentiert, als klassische Webservices.
Einzelne Gateways ins normale Internet oder ins Onionland sind zwar vorhanden, aber nicht das primäre Ziel des Projektes.
• Freenet Project
bietet Schutz gegen das umfangreichste Angrismodell
(freie Kommunikation unter den Bedingungen globaler Überwachung ist das Ziel des Projektes), es stellt die höchsten Anforderungen an die Nutzer und erzielt die langsamsten Downloadraten.
Wie beim Invisible Internet Project wird ein Java-Client genutzt, der Proxydienste für verschiedene Protokolle bietet (HTTP, SMTP, POP3....). Die Kommunikation erfolgt voll verschlüsselt unter Einbeziehung aller Peers des Netzes.
Im Unterschied zu I2P werden die Inhalte im Freenet redundant über alle Peers verteilt und verschlüsselt abgelegt. Ein Freenet Knoten sollte also möglichst dauerhaft online sein und mehrere GByte Speicherplatz bereitstellen.
Der Zugri auf die Inhalte erfolgt nicht über einfache URLs, sondern über komplexe Schlüssel, welche die Adressen der TOR Hidden Services als absolut harmlos erscheinen lassen.
Einmal veröentlichte Inhalte können im Freenet auch vom Autor nicht mehr modiziert werden. Es ist jedoch möglich, aktualisierte Versionen zu veröentlichen und die Freenet Software stellt sicher, dass immer die aktuellste Version angezeigt wird.
Unabhängig vom Open Freenet kann man mit vertrauenswürdigen Freunden ein eigenes Netz kongurieren, welches sich vollständig der Beobachtung durch Dritte entziehen kann.
10.2.
129
JONDONYM
10.2 JonDonym Der Anonymisierungsdienst JonDonym bietet kostenfrei nutzbare Mixkaskaden sowie gegen Bezahlung nutzbare Mixe, die eine höhere Anonymität und Geschwindigkeit versprechen. Beide nutzen denselben Java-Client als Proxy.
AN.ON
JonDonym
80,443 (nur Surfen)
für alles oen
Geschwindigkeit
50 - 100 kB/s
mind. 100 kB/s
Kosten
keine
5-7 Euro/GByte
oene Ports
Jondos bietet anonyme Bezahlmöglichkeiten, bspw. per Brief. Wie man bei JonDonym mit der Paysafecard anonym bezahlt, ist im Ravenblog beschrieben.
10.2.1 JonDo installieren JonDo ist das Client-Programm, welches jeder Nutzer des Anonymisierungsdienstes auf seinem Rechner installieren muss. Das Programm dient als Proxy für verschiedene Internet Applikationen. Der Datenverkehr wird verschlüsselt und an eine Mix-Kaskade weitergeleitet. Ein GUI ermöglicht die Konguration. JonDo ist in Java implementiert und damit unter verschiedenen Betriebssystem nutzbar. 1. Wenn eine aktuelle Java Version bereits installiert ist, geht es ganz einfach mit dem
Java Web Start. Man gibt die URL http://infoservice.inf.tu-
dresden.de/japRelease.jnlp in der Adressleiste des Browsers ein und ruft die Web Start Datei auf. Diese prüft, ob bereits eine aktuelle Version des JAP Client vorhanden ist, lädt bei Bedarf die aktuelle stabile Version (5MB) und startet sie. Für zukünftige Starts kann man ein Lesezeichen für diesen Link speichern.
Sollte der Browser nicht selbst erkennen, mit welcher Anwendung er die JNLP-Datei zu önen hat, muss man ihm erklären, dass das Programm
javaws aus dem Verzeichnis java/bin dafür zuständig ist. 2. Für
WINDOWS
bietet
die
ps://www.jondos.de/de/download/windows
Downloadseite des
Projektes
ein
httSetup
Programm, welches nach dem Download als Administrator zu starten ist. Im Verlauf der Installation werden alle benötigten, nicht auf dem Rechner vorhandenen Komponenten nachgeladen und installiert (inclusive Java Runtime). Der gesamte Download kann bis zu 15 MB betragen.
Anschlieÿend
startet
man
die
Datei
jap.exe
im
Verzeichnis
C:/Programme/JAP. Klickt man mit der rechten Maustaste auf die EXE-Datei, kann man eine Verknüpfung erstellen und diese auf den Desktop oder in den Autostart-Ordner ziehen. 3. Für
Ubuntu sowie Debian stehen fertige Pakete im Wabbel-Repository
https://www.awxcnx.de/wabbel.htm zur Installation bereit. Hinweise zur Nutzung des Repository ndet man auf der Website. Nach Hinzufügen des Repository sind das Paket jondo und abhängige Pakete zu installieren.
130
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
# apt-get update && aptitude install jondo Nach der Installation kann man JonDo über das Programmmenü starten
Applications -> Internet -> Jondo oder auf der Kommandozeile mit jondo. 4. Für andere
Linux/UNIX Versionen ist als erstes ein Java Runtime
Environment zu installieren. Aktuelle Distributionen bieten die Pakete
openjdk6-jre oder sun-java6-jre, die mit dem Paketmanager installiert werden können. Anschlieÿend startet man den JonDo wie unter 1. beschrieben via Java Web Start oder man lädt die Datei JAP.jar von https://www.jondos.de/ herunter, speichert sie in einem sicheren Verzeichnis (Zugri nur für root) und startet den Anon Proxy mit folgendem Kommando:
> java -jar /path/JAP.jar
Abbildung 10.4: Hauptfenster von JonDo
Startet man JonDo, önet sich das im Bild 10.4 gezeigte Hauptfenster des Programms. Hier kann man eine Kaskade auswählen und mit Klick auf die Option Anonymität Ein die Verbindung herstellen. Wird JonDo nicht mehr benötigt, schlieÿt ein Klick auf die Option Anonymität Aus die Verbindung. Das Schlieÿen sollte man insbesondere bei Einwahlverbindung nicht vergessen. Anderenfalls wundert man sich über die hohe Rechnung, wenn man keine Flatrate hat. Der Button Einstellungen öneten einen Dialog, der einige Anpassungen erlaubt, beispielsweise das Aussehen der Hauptfensters, an welchem Port JonDo auf Anfragen wartet usw. Hat man eine Verbindung hergestellt, kann das Hauptfenster minimiert werden (NICHT schlieÿen!). Unter WINDOWS verschwindet der minimierte JonDo in den Systray.
10.2.
JONDONYM
131
10.2.2 Anonym Surfen mit Firefox Um mit Firefox und JonDonym anonym zu surfen, reicht es nicht, einfach nur den Proxy umzuschalten. Weitere Daten sollten blockiert oder modiziert werden, um in einer möglichst groÿen Anonymitätsgruppe abzutauchen. JonDos bietet unter https://www.jondos.de/de/jondofox fertige Prole für Firefox zum Download an, die neben der Anpassung der Proxy-Einstellungen einige Hilfmittel enthalten, um sich anonym im Web zu bewegen.
•
Für WINDOWS startet man das Install-Script JonDoFox.paf.exe nach dem Download und folgt den Anweisungen. Während der Installation können zusätzlich zur Minimal-Variante weitere Plug-Ins eingebunden werden.
•
Für Linux lädt man das gewünsche Prol (Full oder Lite ) herunter, entpackt es und startet das Install-Script. Das Script legt ein neues Prol für JonDoFox an oder aktualisiert ein ein vorhandenes JonDoFox-Prol.
> unzip profile.zip > bash install.sh
Nach der Installation des Prols fragt Firefox bei jedem Start, welche Konguration genutzt werden soll (Bild 10.5). Damit wird der Nutzer auch gezwungen, den Browser zu schlieÿen, bevor er zum anonymen Surfen wechselt.
Abbildung 10.5: Prol beim Start von Firefox wählen
Als Erstes sollte man den Anonymitätstest von JonDos besuchen, um sicher zu gehen, dass alles richtig funktioniert. https://www.jondos.de/de/anontest. Ein Lesezeichen ndet man im Ordner Anonymität. JonDoFox setzt einige Restriktionen, um eine hohe Anonymität beim Surfen zu garantieren. Gelegentlich kommt es dabei auch zu Einschränkungen der Funktion einiger Websites.
132
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
Cookies und Javascript Viele Webseiten nutzen Cookies und Javascript. Neben der Sammlung von Informationen über den Surfer können diese Techniken auch sinnvoll eingesetzt werden. Um grundsätzlich die Anonymität zu wahren, sind im JonDoFox die Annahme von Cookies und die Ausführung von Javascript deaktiviert. Zwei kleine Symbole in der Statuszeile unten rechts ermöglichen es, diese Techniken für einzelne, vertrauenwürdige Webseiten gezielt freizugeben.
Abbildung 10.6: Cookies für eine Websites freigeben
Aktzeptieren erlaubt es dem aktuellen Server, unbegrenzt gültige Cookies zu setzen. Diese Variante wird nur benötigt, wenn man bei einem späteren Besuch der Website automatisch wieder angemeldet werden möchte.
Aktzeptieren während Session erlaubt es dem aktuellen Server, jetzt und bei jedem erneutem Besuch der Website, Cookies zu setzen. Diese werden mit Schlieÿen des Browsers gelöscht.
Temporär aktzeptieren erlaubt es dem aktuellen Server, nur für diese Sitzung Cookies zu setzen. Mit dem Schlieÿen des Browsers werden die Cookies und die Ausnahmereglung gelöscht.
Videos im Web Videos werden in der Regel als Flash-Filme auf Webseiten bereitsgestellt und von einem Flash-Player im Browser angezeigt. Aus Sicherheitsgründen werden Flash-Applikationen im JonDoFox nicht ausgeführt. Es stehen Plug-Ins zum Download der Videos zur Verfügung. Speichern sie die Videos auf der Festplatte und nutzen sie einen lokalen Medien-Player. Das Plug-In DownloadHelper zeigt durch drei rotierende Kugeln an, das Medien gefunden wurden, die gespeichert werden können. Dabei können die Flash-Filme in ein gebräuchlicheres Format konvertiert werden. (Bild 10.7)
Temporäre E-Mail Adressen Man muss nicht bei jeder Gelegenheit seine reale E-Mail Adresse im Internet angeben. Damit fängt man sich eine Menge Spam (Junk) ein. Auÿerdem ist die E-Mail Adresse ein wichtiges Identitätsmerkmal. Datensammler verwenden
10.2.
133
JONDONYM
Abbildung 10.7: Flash-Videos von Youtube lokal speichern
sie als ein Hauptmerkmal für die Identikation, um darauf aufbauend Prole zu erstellen. Stichproben im Internet-Trac weisen einen hohen Anteil von Suchanfragen nach Informationen zu den Inhabern von E-Mail Adressen aus. Um die eigene E-Mail Adresse nicht zu kompromittieren und trotzdem Angebote zu nutzen, welche die Angabe einer Mailadresse erfordern, kann man temporäre Wegwerf-Adressen nutzen. Einige Anbieter von Wegwerf-E-Mail-Adressen bieten einen sehr einfach nutzbaren Service, der keinerlei Anmeldung erfordert. E-Mail Adressen der Form [email protected] ohne Vorbereitung angeben. Unter der Adresse eingehende
Mails
können
im
Webinterface
des
Anbieters
gelesen
werden.
Die Nachrichten werden nach 6-12h automatisch gelöscht und es gibt keinen Passwort-Schutz gegen unberechtigtes Lesen der Nachrichten. Da
die
Anbieter
von
temporären
E-Mail
Adressen
in
der
Regel
die
Vorratsdatenspeicherung umsetzen, ist es sinnvoll, die Angebote mit einem Anonymisierungsdienst wie Jondonym zu nutzen. Vorbereitete Lesezeichen für Anbieter temporärer E-Mail Adressen ndet man im JonDoFox im Lesezeichenordner Anonymität. Als passwort-geschützte Alternative kann man die anonbox des CCC nutzen. Sie bietet ein Postfach, welches nach der Anmeldung bis 24 Uhr des Folgetages verfügbar ist und anschlieÿend gelöscht wird. Eingehende Nanchrichten können ebenfalls anonym mit dem JonDoFox im Webinterface gelesen werden.
10.2.3 Anonyme E-Mail Accounts mit Thunderbird Einige kommerziellen Mix-Kaskaden von JonDonym bieten als SOCKS-Proxies Unterstützung für verschiedene weitere Applikationen. Diese Mix-Kaskaden sind mit einem roten, geschwungenen S im JonDo Client gekennzeichnet.
Es ist möglich, diese Kaskaden für anonyme E-Mail Accounts zu nutzen. Die im folgenden beschriebene Nutzung von Mozilla Thunderbird funktioniert nur
134
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
mit den kommerziellen Premiumdiensten, die mit einem S' gekennzeichnet sind.
Vorbereitung Es ist wenig sinnvoll, einen bisher ganz normal genutzten E-Mail Account bei einem Provider mit Vorratsdatenspeicherung plötzlich anonym zu nutzen. Es haben sich in den letzten Monaten genug Daten angesammelt, die eine Identizierung des Nutzers ermöglichen. Der erste Schritt sollte also die Einrichtung eines neuen E-Mail Accounts bei einem Provider im Ausland sein. In der Regel erfolgt die Anmeldung im Webinterface des Providers. Für die Anmeldung ist ein Anonymiserungsdienst (JonDonym, Tor) zu nutzen. Einige Vorschläge für E-Mail Provider:
•
https://www.fastmail.fm
•
https://www.safe-mail.net
•
http://www.aktivix.org
•
http://www.privatdemail.net
•
https://rosposta.com
•
https://www.hushmail.com
Wenn der neue E-Mail Provider die Angabe einer bereits vorhandenen E-Mail Adresse verlangt, können Wegwerf-Adressen genutzt werden. Auch zum Lesen der eingehenden Nachrichten beim Anbieter der temporären WegwerfAdresse ist ein Anonymisierungsdienst zu nutzen. Diese Dienste speichern ebenfalls Daten über die Nutzung. Bei der Verbreitung der neuen E-Mail Adresse ist Umsicht angeraten, um die Anonymität des Accounts nicht zu komprimitieren. Sie sollte nur an vertrauenswürdige Partner weitergegeben und nicht für jeden Trash verwendet werden.
Thunderbird-Prol erstellen Wir empfehlen, für anonyme E-Mail Accounts ein eigenes Prol in Thunderbird zu erstellen. Das gewährleistet eine konsequente Trennung von anonymer und nicht-anonymer E-Mail Kommunikation. Anderenfalls kommt man bei mehreren Konten schnell einmal durcheinander und gefährdet durch eine hektisch versendete Mail die Anonymität des geschützten Postfaches. Den Prol-Manager von Thunderbird startet man in der Konsole mit der Option -P:
> thunderbird -P Unter
WINDOWS
gibt
es
einen
Menüpunkt
in
der
Programmgruppe
Mozilla Thunderbird, Nutzer von Debian verwenden icedove -P. Es önet sich der Dialog Bild 10.8 zur Verwaltung verschiedener Prole.
10.2.
135
JONDONYM
Abbildung 10.8: Prolmanager für Thunderbird
Es ist ein neues Prol zu erstellen und die Option Dont ask at startup zu deaktivieren. In Zukunft wird Thunderbird genau wie Firefox bei jedem Start fragen, welches Prol genutzt werden soll.
Thunderbird-Prol kongurieren Um im Prol anonym den Datenverkehr durch die Mix-Kaskaden zu jagen, sind die Proxy-Einstellungen wie im Bild 10.9 zu kongurieren. Die Einstellungen der Netzwerkverbindung ndet man im Dialog Einstellungen auf dem Reiter
Erweitert in der Sektion Netzwerk.
Abbildung 10.9: Thunderbird mit JonDonym nutzen
Auÿerdem ist die Variable
network.proxy.socks_remote_dns in den
136
KAPITEL 10.
erweiterten Einstellungen auf
ANONYMISIERUNGSDIENSTE
true zu setzen, um DNS-Leaks zu vermeiden.
Hinweis: in dieser Konguration wird die eigene E-Mail Adresse im Header der Nachricht beim Senden NICHT überschrieben und kann einen Hinweis auf den Absender liefern.
... Received: from [85.245.13.68] (helo=[192.168.10.13]) by .... ... ProxyButton für Thunderbird ProxyButton ist ein Plug-In für Thunderbird (und Firefox), dass den Header einer versendeten E-Mail säubert. Auÿerdem wird die Umschaltung mit/ohne Proxy vereinfacht. Die aktuelle Version ndet man auf der Projektseite zum Download: http://proxybutton.mozdev.org. Nach dem Download der XPIDatei ist diese in Thunderbird zu installieren. Den Dialog zur Verwaltung der Plug-Ins ndet man unter Extras -> Add-ons. Man könnte den ProxyButton der Toolbar hinzufügen und damit einfach zwischen mit/ohne Proxy umschalten. Das ist aber nicht das wesentliche Ziel, wenn man konsequent getrennte Prole verwendet. Mit ProxyButton können E-Mails auch anonym gesendet werden. Das Plug-In überschreibt die eigene IP-Adresse im Header der gesendeten E-Mail mit 0.0.0.0:
... Received: from [85.245.13.68] (helo=[0.0.0.0]) by .... ... Aus Gründen des Spam-Schutzes ist der Standard-Port 25 für das Senden von Mails via JonDonym gesperrt. Wer E-Mails versenden will, muss prüfen ob der Provider SMPT-SSL auf Port 465 oder submission auf Port 587 unterstützt. Die Konguration der SMTP-Server ndet man im Dialog Konten... ganz unten in der Liste der verfügbaren Konten.
Sichere Verbindungen zum Mail-Server Bei der Nutzung eines anonymen E-Mail Accounts ist die Verschlüsselung der Kommunikation mit dem Mail-Server besonders wichtig. Beachten Sie die Hinweise zur Nutzung von SSL- und TLS-Verschlüsselung beim Zugri auf das E-Mail Postfach.
10.3.
TOR ONION ROUTER
137
10.3 Tor Onion Router Das Onion Routing wurde von der US-Navy entwickelt. Die Weiterentwicklung liegt beim TorProject.org, wird durch Forschungsprojekte u.a. von deutschen Universitäten oder im Rahmen des Google Summer of Code unterstützt und durch Spenden nanziert. Das Tor Onion Router Netzwerk besteht gegenwärtig aus ca. 2000 Servern (Nodes), die weltweit verteilt sind. Etwa 60% der Nodes sind aktiv.
10.3.1 Tor mal ausprobieren Wer Tor schnell mal ausprobieren möchte oder unterwegs in einem Cafe keinen Tor Client installieren kann, ndet auf folgenden Webseiten Web-Proxys für das Tor-Netzwerk. Einfach auf der Website die gewünschte URL eingeben und ab gehts.
•
https://torproxy.net
•
https://privacybox.de
•
https://www.awxcnx.de
Verglichen mit der lokalen Installation des Tor Clients ist dies die zweitbeste Möglichkeit, anonym zu surfen. Die Betreiber des Proxy könnte den Datenverkehr mitlesen. (Sie tun es aber nicht!)
10.3.2 Tor für WINDOWS Die Download-Site von Torproject.org bietet für WINDOWS mehrere einfach installierbare Bundles (https://www.torproject.org/download.html.de) 1. Das erste Bundle enthält Tor, das GUI Vidalia und den Content-Filter Privoxy in einer aufeinander abgestimmten Konguration. 2. Das zweite Bundle enthält zusätzlich einen fertig kongurierten Firefox. 3. Das dritte Bundle enthält auÿer dem Firefox auch noch Pidgin, einen Instant-Messanger. 4. TorBrowser ist eine portable Firefox-Version incl. Tor und Vidalia, die ohne Installation nur zu entpacken ist und auch auf dem USB-Stick mitgenommen werden kann. Wird der TorBrowser vom USB-Stick gestartet hinterläÿt er keine Spuren auf dem Rechner. https://www.torproject.org/torbrowser/index.html.de Die Tor-Entwickler empfehlen, Firefox als Browser zu nutzen. Wer bereits Firefox nutzt, greift zum ersten Bundle, alle Nutzer des Internet-Explorers sollten die Variante 2 oder 3 nehmen. Nach dem Download können die selbstentpackenden Install-Archive der Varianten 1-3 gestartet werden, um die nötigen Komponenten zu installieren.
138
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
Abbildung 10.10: Installation des Bundles
Es ist nicht nötig, für Tor Shortcuts im Programmmenü anzulegen und einen Autostart beim Anmelden vorzusehen. Tor kann vollständig über das Panel Vidalia gesteuert werden. Die Komponenten können wie im Bild 10.10 ausgewählt werden. Nach der Auswahl eines Verzeichnisses, in welchem der aktuelle Nutzer Schreibrechte hat, werden die ausgewählten Komponenten installiert. Es ist nicht notwendig, die Installation als Administrator durchzuführen. Das Panel Vidalia bietet die Möglichkeit, Tor zu kongurieren, zu starten und zu beenden. Ein Klick auf das Zwiebel-Icon im Systray önet das VidaliaMenü, welches Einträge für das Starten und Beenden von Tor bietet. Vidalia kann mit der Anmeldung automatisch gestartet werden. Dieser Autostart wird bei der Installation eingerichtet.
10.3.3 Tor für Linux Der Quellcode steht auf der Website https://www.torproject.org/ zum Download bereit. Tor benötigt das Paket libevent und evtl. libevent-dev, welches mit den Tools der jeweiligen Distribution zu installieren ist. Nach dem Download ist das Tor Paket zu entpacken, in das Verzeichnis mit dem Quellcode zu wechseln und der übliche Dreisatz als User root aufzurufen:
# ./configure && make && make install Die Administrator-Privilegien sind nur für den letzten Schritt nötig. Hat man keine Möglichkeit, diese Privilegien zu erlangen, kann auf make install auch verzichtet werden. Das Binary tor steht dann im Unterverzeichnis src/or zum Start bereit und kann in ein beliebiges anderes Verzeichnis kopiert werden.
10.3.
139
TOR ONION ROUTER
Debian und Ubuntu Debian und Ubuntu enthalten das Paket tor. Es kann mit der Paketverwaltung installiert werden. Dabei handelt es sich jedoch um eine selten aktualisierte Version. Torproject.org stellt aktuelle Pakete zur Verfügung. Das APT-Repository kann mit folgender Zeile ist der Datei /etc/apt/sources.list genutzt werden. Grasche Frontends wie Synaptic u.ä. unterstützen auch das Hinzufügen von Repositories.
deb
http://deb.torproject.org/torproject.org
DISTRI
main
DISTRI ist dabei durch etch, lenny, hardy, intrepid oder jaunty zu ersetzen, wenn die entsprechende Distribution verwendet werden. Die Integrität der Pakete kann mit dem PGP-Signaturschlüssel veriziert werden. Der Schlüssel ist in den Apt-Keyring einzufügen:
> gpg --keyserver subkeys.pgp.net --recv 886DDD89 > gpg --fingerprint 886DDD89 Schl.-Fingerabdruck = A3C4 F0F9 79CA A22C DBA8 F512 EE8C BC9E 886D DD89 > gpg --export 0x886DDD89 | sudo apt-key add Im Anschluss installiert man tor wie üblich mit:
# apt-get update # aptitude install tor tor-geoipdb Die Installation startet tor und richtet Init-Scripte für den Start bei jedem Booten ein. Dies ist für die Nutzung als Client bei Einwahlverbindungen ungünstig. In der Datei /etc/defaults/tor kann man den Start von tor beim Booten deaktivieren. Will man tor später starten, wenn man den Onion Router benötigt, kann man entweder das GUIs Vidalia oder TorK nutzen oder die Konsole:
> sudo /usr/sbin/tor Beendet wird das Programm ziemlich hart mit:
> sudo killall tor
10.3.4 Privoxy für Tor kongurieren (Linux) Wir empfehlen, den Content-Filter Privoxy in Kombination mit Tor zu nutzen. Privoxy bietet einige Features, welche das Surfen mit Tor verbessern und die Fehler der SOCKS-Implemntierung von Mozilla kompensieren. Die Entwickler arbeiten eng mit dem Tor-Team zusammen. Prinzipiell kann Privoxy mit dem Paketmanager der jeweiligen LinuxDistribution installiert werden. Leider bieten weder Debian noch Ubuntu aktuelle Versionen von Privoxy in ihren Repositories. Aktuelle Pakete gibt es unter http://www.privoxy.org. Nach dem Download des xxx-i386.deb kann das Paket installiert werden:
140
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
# dpkg -i privoxy*.deb Der Browser sendet seine Anfragen an den Content-Filter und dieser leitet sie an den Tor Client weiter. An dieser Stelle wird lediglich die Konguration von Privoxy zur Weiterleitung der Daten an Tor beschrieben. Die Konguration von Mozilla Firefox ist im folgenden Abschnitt beschrieben. Die
Konguration
von
Privoxy
erfolgt
vollständig
über
Textdateien.
Linux-User nden diese in der Regel im Verzeichnis /etc/privoxy (SuSE Linux:
/var/lib/privoxy/etc ). Das WINDOWS-Paket von torproject.org ist bereits vorkonguriert. In der Datei cong.txt der Privoxy Konguration sind folgende Anpassungen nötig: 1. Für die Weiterleitung des Datenverkehrs an Tor ist folgende Zeile einzufügen (Nicht den Punkt am Ende der Zeile vergessen!):
forward-socks4a /
localhost:9050 .
2. Da über Socks4a-Verbindungen gelegentlich einige Verbindungen verloren gehen, sollte Privoxy mehrfach versuchen, eine Verbindung herzustellen (1-3x):
forwarded-connect-retries 3 3. Um zu vermeiden, das alle abgerufenen Webseiten im Logle protokolliert werden, sind nur die folgenden Debug-Ausgaben zulässig:
debug debug
4096 8192
10.3.5 Anonym Surfen mit Tor Die Entwickler von Tor empfehlen ausdrücklich den Browser Firefox / Iceweasel. Für diesen Browser gibt es mit
TorButton ein Plug-In, das den Browser
für anonymes Surfen konguriert. TorButton bietet neben der Umschaltung des Proxy weitere Funktionen für hohe Anonymität. Man kann z.B auf Cookies, die via Tor empfangen wurden, im normalen Modus nicht zugreifen. Das verhindert eine ungewollte Deanonymisierung. Der HTML-Header wird gefakt, um Browserkennung und andere Merkmale zu vereinheitlichen, Referer und Javascript werden blockiert usw.
Firefox Prol anlegen Um eine hohe Anonymität zu sichern, empfehlen wir, für jeden Anon-Dienst ein eigenes Prol zu nutzen. Damit werden alle Daten konsequent getrennt. Auÿerdem ist TorButton nicht kompatibel mit einigen Plug-Ins, die für Spu-
renarmes Surfen empfohlen wurden. TorButton kommt NoScript, RefControl und dem User Agent Switcher in die Quere.
10.3.
141
TOR ONION ROUTER
Das Plug-In ProleSwitcher vereinfacht die Arbeit mit mehreren Prolen. Es steht unter https://nic-nac-project.org/ kaosmos/proleswitcher-en.html zur Installation bereit, ist als erstes zu installieren und Firefox neu zu starten. Den Prolmanager von Firefox önet man mit dem Menüpunkt Datei - Prolmana-
ger önen oder man nutzt das Symbol in der Statusleiste (rechte Maustaste!). Ohne das Plug-In startet man den Prolmanager auf der Kommandozeile mit:
> firefox -P
Abbildung 10.11: Prolmanager für Firefox
Nach dem Anlegen mehrerer Prole fragt Firefox bei jedem Start, welche Konguration genutzt werden soll. Die Umschaltung zwischen verschiedenen Kongurationen erfolgt über den Menüpunkt Datei - Anderes Prol laden oder man nutzt das Symbol in der Statusleiste .
Prol TorBrowser kongurieren Die Basics für anonymes Surfen werden vom Plug-In
steht
unter
TorButton eingerichtet. Das
https://www.torproject.org/torbutton
zum
Download
bereit und wird mit einem Klick auf den Link Installation integriert. Nach der Installation ist Firefox neu zu starten. Torbutton vereinfachen durch sinnvolle Standardwerte
die
Konguration.
Eigentlich
ist
mit
der
Installation
alles
brauchbar eingerichtet. Um Timeouts (vor allem beim Zugri auf Hidden Services) zu reduzieren, kann man Privoxy nutzen. Auÿerdem ist es sinnvoll, die Umschaltung mit Tatsenkürzel
zu
deaktivieren.
Die
Umschaltung
zwischen
anonymen
und
normalen Surfen sollte durch einen Wechsel des Proles erfolgen. Anschlieÿend installiert man einige weitere Plug-Ins, die das anonyme Surfen bequemer und sicherer machen: CookieSafe, AdBlock Plus, BetterPrivacy, Firekeeper, SSL Blacklist, PwdHash, FireGPG und datensparsame Suchmaschinen
142
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
Abbildung 10.12: Einstellungen für TorButton
von mycroft.mozdev.org. Dieser Weg ist zwar etwas umständlicher, als einfach TorButton im Standardprol zu installieren, dafür aber sicherer.
Anonymitätstest Nachdem die Software installiert und der Browser konguriert ist, möchte man wissen, ob es auch funktioniert und der Datenverkehr jetzt anonym über den Onion Router läuft. Torproject.org bietet unter https://check.torproject.org eine Testseite. Wenn eine grüne Zwiebel angezeigt wird: Herzlichen Glückwunsch.
10.3.6 Anonyme E-Mail Accounts mit Tor nutzen Nicht nur beim Surfen, sondern auch bei jedem Versenden und Abrufen von E-Mails wird die IP-Adresse des Nutzers erfasst und im Rahmen der Vorratsdatenspeicherung für 6 Monate gespeichert. Um unbeobachtet sein E-Mail Konto nutzen zu können, ist es möglich, diese IP-Adresse mit Tor zu verschleiern. Es ist wenig sinnvoll, einen bisher ganz normal genutzten E-Mail Account bei einem Provider mit Vorratsdatenspeicherung plötzlich anonym zu nutzen. Es haben sich in den letzten Monaten genug Daten angesammelt, die eine Identizierung des Nutzers ermöglichen. Der erste Schritt sollte also die Einrichtung eines neuen E-Mail Accounts bei einem Provider im Ausland sein. In der Regel erfolgt die Anmeldung im Webinterface des Providers. Für die Anmeldung ist ein Anonymiserungsdienst (JonDonym, Tor) zu nutzen. Einige Vorschläge für E-Mail Provider:
•
https://www.fastmail.fm
10.3.
143
TOR ONION ROUTER
•
https://www.safe-mail.net
•
http://www.aktivix.org
•
http://www.privatdemail.net
•
https://rosposta.com
•
https://www.hushmail.com
Wenn der neue E-Mail Provider die Angabe einer bereits vorhandenen EMail Adresse verlangt, können Wegwerf-Adressen genutzt werden. Auch zum Lesen der eingehenden Nachrichten beim Anbieter der temporären WegwerfAdresse ist ein Anonymisierungsdienst zu nutzen.
Thunderbird-Prol erstellen Wir empfehlen, für anonyme E-Mail Accounts ein eigenes Prol in Thunderbird zu erstellen. Das gewährleistet eine konsequente Trennung von anonymer und nicht-anonymer E-Mail Kommunikation. Anderenfalls kommt man bei mehreren Konten schnell einmal durcheinander und gefährdet durch eine hektisch versendete Mail die Anonymität des geschützten Postfaches. Den Prol-Manager von Thunderbird startet man in der Konsole mit der Option -P:
> thunderbird -P Unter
WINDOWS
gibt
es
einen
Menüpunkt
in
der
Programmgruppe
Mozilla Thunderbird, Nutzer von Debian verwenden icedove -P. Es önet sich der Dialog Bild 10.13 zur Verwaltung verschiedener Prole.
Abbildung 10.13: Prolmanager für Thunderbird
Es ist ein neues Prol zu erstellen und die Option Dont ask at startup zu deaktivieren. In Zukunft wird Thunderbird genau wie Firefox bei jedem Start fragen, welches Prol genutzt werden soll.
144
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
Thunderbird-Prol kongurieren Thunderbird in der Lage, via SOCKS-Proxy mit den Mailservern zu kommunizieren. In den Einstellungen sind auf dem Reiter Erweitert in der Sektion
Netzwerk die Proxy-Einstellungen zu kongurieren (Bild 10.14)
Abbildung 10.14: Proxy-Einstellungen in Thunderbird
network.proxy.socks_remote_dns in den true zu setzen, um DNS-Leaks zu vermeiden. Die
Auÿerdem ist die Variable erweiterten Einstellungen auf
erweiterten Einstellungen ndet man im Dialog Einstellungen in der Sektion
Erweitert auf dem Reiter Allgemein. HINWEIS: in dieser Konguration wird die eigene IP-Adresse im Header der Nachricht beim Senden NICHT überschrieben und kann einen Hinweis auf den Absender liefern.
... Received: from [85.245.13.68] (helo=[192.168.10.13]) by .... ... ProxyButton für Thunderbird ProxyButton ist ein Plug-In für Thunderbird (und Firefox), dass den Header einer versendeten E-Mail säubert. Auÿerdem wird die Umschaltung mit/ohne Proxy vereinfacht. Die aktuelle Version ndet man auf der Projektseite zum Download: http://proxybutton.mozdev.org. Nach dem Download der XPIDatei ist diese in Thunderbird zu installieren. Den Dialog zur Verwaltung der Plug-Ins ndet man unter Extras -> Add-ons. Man könnte den ProxyButton der Toolbar hinzufügen und damit einfach zwischen mit/ohne Proxy umschalten. Das ist aber nicht das wesentliche Ziel,
10.3.
TOR ONION ROUTER
145
wenn man konsequent getrennte Prole verwendet. Mit ProxyButton können E-Mails auch anonym gesendet werden. Das Plug-In überschreibt die eigene IP-Adresse im Header der gesendeten E-Mail mit 0.0.0.0:
... Received: from [85.245.13.68] (helo=[0.0.0.0]) by .... ... Weitere Hinweise für die Nutzung Im Onion Router Netzwerk ist der Port 25 für die Versendung von E-Mails gesperrt, um nicht von Spammern missbraucht zu werden. In der Regel bieten die Provider auch den Port 465 für SSL-verschlüsselte Verbindungen oder 587 für TLS-verschlüsselte Versendung von E-Mails. Für diese Ports gibt es einige Exit-Server. Im Dialog Konten... ndet man in der Liste links auch die Einstellungen für den SMTP-Server. In der Liste der Server ist der zu modizierende Server auszuwählen und auf den Button Bearbeiten zu klicken. In dem sich önenden Dialog ist der Port entsprechend zu ändern. Möchte man die E-Mails von einem Tor Hidden Service abrufen, erhält man in der Regel einen Timeout-Fehler. Es hilft, die Website des Hidden Service im Browser via Tor aufzurufen und erst, wenn diese Website geladen ist, die Mails abzurufen. Mit dem Aufruf im Browser wird ein Circuit zum Hidden Service aufgebaut. Das dauert etwas. Browser sind hinsichtlich der Timeouts etwas robuster.
10.3.7 Tor und iptable (Linux) Dieser kurze Abschnitt soll ein paar Klischees bedienen: Linux ist ein richtiges
Full-Text-Adventures. oder Real man use only self written rewall rules. Wer sich nicht angesprochen fühlt, kann es ignorieren. Mit wenigen Regeln für die netlter Firewall des Linux Kernels kann man den gesamten Trac eines bestimmten Users durch das Onion Router Netz jagen. Man spart die Konguration verschiedener Programme für Tor, wenn man mehr als den Webbrowser via Tor nutzen möchte. 1. Das Anlegen eines neuen Users toruser und Passwort setzen kann mit verschiedenen GUIs oder auf der Kommandozeile erledigt werden:
> sudo useradd -m toruser > sudo passwd toruser 2. Ein minimaler Regelsatz für iptables blockiert alles, was von auÿen rein will und gibt evtl. einzelne Dienste frei:
#!/bin/sh IPT=/sbin/iptables
146
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
# Alle Werte zurücksetzen $IPT -t mangle -F $IPT -t mangle -X $IPT -t nat -F $IPT -t nat -X $IPT -F $IPT -X # forwarding deaktivieren echo 0 > /proc/sys/net/ipv4/ip_forward # Default-Policies setzen $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT ACCEPT # loopback freischalten $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT # Antworten auf bestehende Verbindungen erlauben $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # CUPS erlauben $IPT -A INPUT -i $IFACE -p tcp --dport 631 -j ACCEPT # letzte Zeile $IPT -A INPUT -j DROP Im Beispiel ist der Druckdienst CUPS (Port: 631) auf dem Rechner erreichbar. Die letzte Regel kann man entfernen, wenn der Rechner keine Drucker für andere bereitstellt oder modizieren, wenn andere Dienste erreichbar sein sollen. 3. Diesem minimalen Regelsatz werden folgende Regeln vor der letzten Zeile hinzugefügt, um den Datenverkehr des toruser durch das Tor Netz zu schicken:
$IPT -t -m $IPT -t -m $IPT -A
nat -A OUTPUT -p tcp -m owner --uid-owner toruser tcp --syn -j REDIRECT --to-ports 9040 nat -A OUTPUT -p udp -m owner --uid-owner toruser udp --dport 53 -j REDIRECT --to-ports 1053 OUTPUT -m owner --uid-owner toruser -j DROP
4. Das fertige Firewall Script könte man in /etc/network/if-up speichern und die Berechtigungen als ausführbar setzen, oder man fügt es als Up-Script in die Datei /etc/network/interfaces direkt ein. 5. In der Tor-Konguration /etc/tor/torrc sind folgende Zeilen zu ergänzen:
10.3.
147
TOR ONION ROUTER
AutomapHostsOnResolve 1 TransPort 9040 DNSPort 1053 6. Um ein Programm zu torizieren, startet man es unter der UID toruser. Für grasche Tools kann man kdesu oder gksu verwenden, auf der Konsole reicht ein sudo :
> kdesu -u toruser kmail > gksu -u toruser pidgin > sudo -H -u toruser irssi
10.3.8 Tor Hidden Services Das Onion Router Netzwerk ermöglicht nicht nur die anonyme Nutzung regulärer Dienste im Web, sondern auch die Bereitstellung anonymer Angebote. Diese Hidden Services sind schwer lokalisierbar und damit sehr zensurresistent. Der Zugri ist nur über das Tor Netzwerk möglich. Die kryptische Adresse mit der Endung .onion dient gleichzeitig als Hashwert für ein System von Schlüsseln, welches sicherstellt, das der Nutzer auch wirklich mit dem gewünschten Dienst verbunden wird.
Hidden Wikis und Linklisten Sie dienen als erste Anlaufstelle für die Suche nach weiteren Hidden Services.
•
http://oldd6th4cr5spio4.onion (Hidden Wiki)
•
http://kpvz7ki2v5agwt35.onion/wiki (Mirror für Hidden Wiki)
•
http://dppmfxaacucguzpc.onion (Tor Directory)
Suchmaschinen Die
derzeit
einzige
Suchmaschine
für
Tor
Hidden
Services
ist
Torgle
http://oqzn3tdo6nwg3f.onion
Foren und Blogs Das Onion-Forum http://l6nvqsqivhrunqvs.onion bietet Diskussionen zu vielen Themen. Die deutsche Sektion ist allerdings im Moment von SPAM dominiert. Torando
unter
http://xqz3u5drneuzhaeo.onion/users/a1cerulean
ist
eine
Hidden Community (im Aufbau).
Wikileaks Einige reguläre Websites sind auch als Hidden Service ereichbar, um den Nutzern eine möglichst hohe Anonymität zu bieten, die Site Wikileaks beispielsweise unter http://gaddbiwdftapglkq.onion.
148
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
Tor Messaging Tor Privat Messaging unter http://4eiruntyxxbgfv7o.onion/pm/ bietet die Möglichkeit, Text-Nachrichten ohne Attachements unbeobachtet auszutauschen. Der Dienst erfordert das Anlegen eines Accounts. Das Schreiben und Lesen der Nachrichten erfolgt im Webinterface.
Usenet Server Noauth bietet unter http://fehw2z6yc3exfmgk.onion/news/ ein Webinterface für einige alt.* Newsgruppen. Schreiben von anonymen Artikeln ist möglich und in diesen Newsgruppen expliziet erlaubt.
Jabber-Server Server die ein anonymes Konto für Instant-Messaging via XMPP ermöglichen, stehen unter den folgenden Adressen bereit:
•
ww7pd547vjnlhdmg.onion
•
3khgsei3bkgqvmqw.onion
torchat Adressen torchat ist ein Instant Messenger, der ohne zentralen Server auskommt und die Verbindung abhörsicher und VDS-frei von Tor-Client zu Tor-Client routet. Die Userkennungen entsprechen den kryptischen Onion-Adressen. Eine Liste mit einigen Adressen ndet man unter http://eqt5g4fuenphqinx.onion/page/33.
Anonymous Upload Center Wer Dateien anonym zum freien Download bereitstellen möchte, ndet eine Lösung im Free Anonymous Upload Center unter http://xmetrvh465rhx3yq.onion
Hidden Hosting Unter http://624eb2rznzhtq2cz.onion/hiddenhosting/ oder bei Freedom Hosting unter http://xqz3u5drneuzhaeo.onion kann man eine eigene Website im Onionland veröentlichen, wenn man keinen TOR-Node hat, der ständig im Netz erreichbar ist.
Remailer-Webinterface Unter der Adresse http://a5ec6f6zcxtudtch.onion/anon-email.htm ist es möglich, eine E-Mail oder ein Newsposting anonym und ohne Hinweise auf den Absender zu versenden.
10.3.
149
TOR ONION ROUTER
Vertrauenfrage Für die Hidden Services gibt es (noch) kein Vertrauens- und Reputationsmodell. Unter dem Deckmantel der Anonymität tummeln sich aber nicht nur Gutmenschen. Anonym bereitgestellten Dateien sollte man immer ein gesundes Misstrauen entgegen bringen. In Diskussionen wird aus dem Deckmantel der Anonymität heraus alles mögliche behauptet.
10.3.9 Bad Exit Nodes Ein sogenannter Bad-Exit-Node
im Tor-Netz versucht den Trac zu be-
schnüeln oder zusätzliche Inhalte in eine (nicht SSL-gesicherte) Website einzuschmuggeln. Bedingt durch das Prinzip des Onion Routings holt der letzte Node einer Kette die gewünschten Inhalte. Diese Inhalte liegen dem Node im Klartext vor, wenn sie nicht SSL- oder TLS-verschlüsselt wurden. Durch
einfaches
Beschnüeln
wird
die
Anonymität
des
Nutzers
nicht
kompromittiert, es können nur Inhalte mitgelesen werden, die im Web schon verfügbar sind. Persönliche Daten, bspw. Login Daten für einen Mail- oder Bank-Account, sollten nur über SSL- oder TLS-gesicherte Verbindungen übertragen werden. Bei SSL-Fehlern sollte die Verbindung abgebrochen werden. Das gilt für anonymes Surfen via Tor genauso, wie im normalen Web. Cookies, Javascript und Java sind für anonymes Surfen zu deaktivieren. Dann kann der Nutzer nicht durch eingeschmuggelte Cookies oder Scripte deanonymisiert werden.
150
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
10.4 Invisible Internet Project Das Invisible Internet Project (I2P) hat das Ziel, Anonymität sowohl für Konsumenten als auch für Anbieter von Angeboten zu bieten. Dieses Ziel lässt sich nur in einem geschlossenen Netz verwirklichen. Es wird die Infrastruktur des WWW genutzt, um in einer darüber liegenden komplett
verschlüsselten
Transportschicht
ein
anonymes
Kommunikations-
netz zu bilden. Der Datenverkehr wird mehrfach verschlüssellt über ständig wechselnde Teilnehmer des Netzes geleitet. Der eigene I2P-Router ist auch ständig an der Weiterleitung von Daten für Andere beteiligt. Das macht die Beobachtung einzelner Teilnehmer durch Dritte nahezu unmöglich.
Abbildung 10.15: Prinzip von I2P
Das Projekt bietet einen Java-basierten Client. Dieser Client verschlüsselt den gesamten Datenverkehr. Auÿerdem stellt er sicher, dass ständig neue Verbindungen zu anderen Rechnern des Netzwerkes aufgebaut werden. Neben
der
Möglichkeit,
anonym
zu
Surfen
und
Websites
(sogenannte
eepsites ) anzubieten, sind weitere Anwendungen bereits fester Bestandteil von I2P. Es bietet anonyme E-Mail (Susimail), BitTorrent Downloads (I2Psnark), ein anonymes Usenet (Syndie) u.a.m. Da die Nutzung der Angebote mit technischen Hürden verbunden ist, sind diese Angebote weit weniger frequentiert, als klassische Webservices. Gateways ins normale Internet, Onionland und Freenet sind vorhanden:
•
Freenet Proxy: http://fproxy.tino.i2p
•
Onion Proxy: http://awxcnx.i2p
10.4.1 Installation des I2P-Routers Für die Nutzung des Invisible Internet Projects benötigt man den I2P-Router, der als Proxy für verschiedene Anwendungen (Webbrowser, E-Mail Client...) dient und die Weiterleitung der Daten vom und zum I2P-Netz übernimmt. Der I2P-Router ist eine Java-Applikation und steht unter www.i2p2.de zum
10.4.
151
INVISIBLE INTERNET PROJECT
Download bereit.
I: Als erstes ist jedoch eine Java-Runtime (JRE) zu installieren:
• WINDOWS:
eine Version für WINDOWS bietet Sun zum freien Dow-
nload unter http://java.sun.com an. Es ist ein kleiner Installer (.EXE) herunter zu laden, der nach dem Start alle weiteren benötigten Komponenten lädt und installiert.
• Linux: bietet verschiedene Implementierungen der Java-Runtime, die mit der Paketverwaltung der jeweiligen Distribution installiert werden können. Aktuelle Distributionen enthalten die freie Implementierung openjdk-6-
jre, ältere Distributionen können sun-java6-jre oder sun-java5-jre nutzen (non-free).
II: Anschlieÿend kann der I2P-Router installiert werden:
• WINDOWS:
Die
Datei
i2pinstall-0.x.y.exe
von
der
Downloadseite
http://www.i2p2.de/download.html enthält einen kompletten Installer, der nach dem Start alles Nötige einrichtet. Einfach starten und dem Assistenten folgen.
Nach der Installation ndet man im Startmenü die neue Gruppe I2P.
Abbildung 10.16: I2P im Startmenü von Windows
Die beiden Punkte zum Starten von I2P unterscheiden sich nur gering. Im ersten Fall hat man keine störende Konsole auf dem Desktop. I2P
router console önet den Webbrowser, um den Router zu kongurieren oder abzuschalten: http://localhost:7657.
• Debian
und
Ubuntu: für diese Distributionen bieten wir fertige DEB-
Pakete zur Installation in unserem Repository. Die Install-Routine installiert die Software, richtet einen System-User ein sowie die Start- und Stopscripte für den Reboot ds Rechners. https://www.awxcnx.de/wabbel.htm
• Linux:
Die
Installation
erfolgt
auch
mit
der
EXE-Datei
i2pinstall-
0.x.y.exe von der Downloadseite. Es ist empfehlenswert (aber nicht nötig) einen eigenen User-Account für den I2P-Router anzulegen.
> sudo adduser --system --disable-password --shell /bin/bash --home /home/i2p-daemon --group i2p-daemon
152
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
Das Datei i2pinstall-0.x.y.exe ist im HOME-Verzeichnis des eingeschränkter User zu speichern und anschlieÿend zu starten. Der Wechsel der UserID (erste Zeile) ist nur nötig, wenn ein eigener User für den I2P-Router angelegt wurde:
> sudo su i2p-daemon > cd ~ > java -jar i2pinstall-0.x.y.exe -console Zukünftig kann der Router mit folgenden Kommandos gestartet werden:
> ~/i2p/i2prouter start Wenn ein eigener Account für den Router eingerichtet wurde:
> sudo -u i2p-daemon sh /home/i2p-daemon/i2p/i2prouter start Abschalten lässt sich der Router in der Router-Konsole im Webbrowser unter http://localhost:7657 mit Klick auf den Link shutdown oder obiges Kommando mit der Option stop.
10.4.2 Konguration des I2P-Router Standardmäÿig ist der I2P-Router funktionsfähig vorkonguriert. Ein paar kleine Anpassungen können die Arbeit etwas verbessern.
Einbindung ins I2P-Netz Wenn der eigene I2P-Router auch vom Internet für andere Teilnehmer erreichbar ist, verbessert sich die Performance. (für forgeschrittene Internetnutzer)
•
Evtl. ist auf einem Gateway/Router ein Port Forwarding für die Ports 8888 (TCP) und 8887 (UDP) zu kongurieren.
•
Auÿerdem braucht man einen Namen, unter dem der Rechner erreichbar ist. Für Einwahlverb. bietet z.B. dyndns.org einen entsprechenden Service.
Die Angaben können in der Router Konsole unter conguation (Link oben links) eingetragen werden. Auch die Begrenzung der Bandbreite für den I2P-Router kann hier angepasst werden.
SusiDNS anpassen Für die Zuordnung von Domain Namen mit der Toplevel Domain .i2p zu einem Service wird SusiDNS verwendet, ein dem DNS im Internet vergleichbares System. Wie in den Anfangszeiten des WWW erhält jeder I2P Router eine komplette Liste der bekannten eepsites, das addressbook. Um neue eepsites oder Services in das addressbook einzufügen, verwendet I2P sogenannte subscriptions. Die eine standardmäÿig vorhandene subscription wird relativ selten aktualisiert.
10.4.
Um
auf
scriptions in
153
INVISIBLE INTERNET PROJECT
der
zu
dem
Laufenden
abbonieren.
Router
Konsole.
zu
Die
bleiben,
ist
Einstellungen
Subscriptions
es für
kann
sinnvoll, SusiDNS
man
unter
weitere
sub-
ndet
man
der
Adresse
http://localhost:7657/susidns/subscriptions.jsp einfügen. (Bild 10.17)
Abbildung 10.17: subscriptions für SusiDNS
Folgende subscriptions bieten aktuelle Neuerscheinungen:
http://stats.i2p/cgi-bin/newhosts.txt http://i2phost.i2p/cgi-bin/i2hostetag http://tino.i2p/hosts.txt
10.4.3 Anonym Surfen mit I2P Der I2P-Router stellt einen HTTP-Proxy für den Webbrowser bereit. Die Adresse dieses Proxy ist:
Rechner: localhost Port: 4444 Der Proxy kann genutzt werden, um Websites im Invisible Internet aufzurufen (eepsites, erkennbar an der Toplevel Domain
.i2p), oder um anonym im
normalen Internet zu surfen.
Firefox kongurieren Es gibt mehrere Plu-Ins für Firefox, die eine einfache Umschaltung zwischen verschiedenen Proxyeinstellungen erlauben:
•
QuickProxy: https://addons.mozilla.org/de/refox/addon/1557
•
SwitchProxy: https://addons.mozilla.org/de/refox/addon/125
154
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
Nach Installation eines Plug-Ins und Neustart von Firefox ist in den Einstellungen des Plug-Ins ein neuer Proxy mit der oben angegebenen Adresse zu kongurieren. Die Proxy-Einstellungen sollen für alle Protokolle gelten. Vor dem Wechsel zu I2P oder zurück, sollte man den Browser schlieÿen und alle temporären Inhalte löschen. Anderenfalls kann man anhand von gespeicherten Cookies oder ETags aus dem Cache wiedererkannt werden.
10.4.4 I2P Susimail Die Anwendung Susimail ist integraler Bestandteil von I2P und ermöglicht den unbeobachteten Austauch von E-Mails. Das Anlegen und Verwalten eines Susimail-Accounts erfolgt auf der eepsite http://hq.postmaster.i2p. Es ist möglich, E-Mails in das normale Web zu versenden und auch von dort unter der Adresse <username>@i2pmail.org zu empfangen. In Abhängigkeit der auf HQ Postmaster gewählten Einstellungen kann dieser Übergang ins normale Internet bis zu 24h dauern. Um für Spammer unattraktiv zu sein, haben die Entwickler von I2P die Anzahl der ins normale Web versendbaren Mails begrenzt. Es ist möglich, innerhalb von 24h bis zu 20 Emfängern beliebig viele E-Mail zu senden. Wer unbedingt mehr Leute per E-Mail kontaktieren will, kann mit einem Hashcash ein Kontingent von weiteren 20, 40 oder 80 Empfängern freischalten.
Router-Konsole nutzen Ein einfaches Webinterface für Susimail ist in der I2P Router Konsole erreichbar unter der Adresse http://localhost:7657/susimail/susimail.
Abbildung 10.18: Webinterface von Susimail
Es bietet eine simple Möglichkeit, Mails abzurufen und zu versenden. Komfortabler ist die Nutzung des bevorzugten E-Mail Clients, vor allem wenn man
10.4.
155
INVISIBLE INTERNET PROJECT
die Möglichkeiten zur Verschlüsselung der Nachrichten nutzen möchte.
Thunderbird kongurieren Der Susimail-Account kann mit jedem E-Mail Client genutzt werden.
SMTP-Server: localhost POP3-Server: localhost Login-Name: <username>
Port: 7659 Port: 7660
In Thunderbird ist als erstes ein neuer SMTP-Server anzulegen (Konten -> Postausgangs-Server (SMTP) -> Hinzufügen). Der Server erfordert eine Authentizierung mit dem Daten des Susimail Accounts. Danach
kann
ein
neues
POP3-Konto
angelegt
werden,
welches
diesen
SMTP-Server für die Versendung nutzt. SSL- und TLS-Verschlüsselung sind zu deaktivieren. Der I2P-Router übernimmt die abhörsichere Übertragung. In den Server-Einstellungen des Kontos sollte die Option Alle x Minuten auf
neue Nachrichten prüfen deaktiviert werden! Die Admins von Susimail bitten darum, den Service nicht unnötig zu belasten.
Susimail mit Tor nutzen An Stelle des I2P-Routers kann auch Tor für den Abruf und das Versenden von Nachrichten via I2P Mail genutzt werden. Folgende Hidden Services bieten ein SMTP-Gateway (Port: 7659) und POP3-Gateway (Port: 7660):
v6ni63jd2tt2keb5.onion 5rw56roal3f2riwj.onion Die Hidden Service Adresse ist als SMTP- und POP3-Server im E-Mail Client für das I2P-Mail-Konto an Stelle von localhost einzutragen. Auÿerdem ist der E-Mail Client so zu kongurieren, dass er TOR+Privoxy als Proxy nutzt. Sollte der E-Mail Client ständig den Fehler TIMEOUT liefert, hilft es, den Hidden Service erst einmal im Webbrowser aufzurufen.
Hinweise zur Nutzung von Susimail Der Service wird von postman und mastijaner in der Freizeit aufgebaut und gepegt. Sie bitten darum, folgene Hinweise zu beachten: 1. Bitte nicht den POP3-Service in kurzen Intervallen automatisiert abfragen. Einige Nutzer fragen den POP3-Dienst immer wieder innerhalb weniger Minuten ab und belasten den Service stark. Zweimal pro Tag sollte reichen. 2. Um anonym zu bleiben, sollte man keine Mails an die eigene Mail Adresse im Web schreiben oder an Bekannte, mit denen man via E-Mail im normalen Web Kontakt hält.
156
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
3. Bitte Susimail nicht für Mailinglisten nutzen, die man nicht mitliest. Das Abmelden (unsubscribe) auf Mailinglisten bei Desinteresse nicht vergessen. 4. Wer nicht mehr im Invisible Internet aktiv ist, sollte auch an das Löschen des Susimail Account denken. Scheinbar gibt es dem Server viele tote MailAccounts, wo noch immer Mails eingehene (Spam und Mailinglisten) und die viel Speicherplatz verbrauchen. 5. Bitte verwendet den Dienst nicht, um anonym Beleidigungen oder Drohungen zu schreiben bzw. anderweitig strafrechtlich relevant. Das bringt den Betreibern Ärger und gefährdet den reibungslosen Betrieb. Englischer Orginaltext bei HQ Postman: http://hq.postman.i2p/?p=63
10.4.5 I2P BitTorrent Der I2P-Router bietet auch einen Proxy für das BitTorent Protokoll für anonymen Peer-2-Peer-Tausch von Dateien. Im Gegensatz zum Anonymisierungsdienst Tor ist die Nutzung von BitTorrent im Invisble Internet Project ausdrücklich erwünscht. Der Dienst bietet Optimierungen mit speziellen Clients. Die I2P-Router-Konsole bietet einen einfachen BitTorrent Client als Webinterface unter Torrents (http://localhost:7657/i2psnark).
Abbildung 10.19: I2PSnark BitTorrent-Client im Webinterface
10.4.
INVISIBLE INTERNET PROJECT
157
Die zum Tausch bereitgestellten oder heruntergeladenen Dateien ndet man im Unterverzeichnis i2psnark
der I2P-Installation. Dieses Verzeichnis
sollte Lese- und Schreibrechte für alle lokalen User haben, die I2PSnark nutzen dürfen. Torrents ndet man z.B. auf den eepsites http://tracker2.postman.i2p, http://crstrack.i2p/tracker oder http://tracker.welterde.i2p. Das webinterface bietet direkte Links zu diesen eepsites. Ein Stand-alone-Client steht mit I2P-BT unter http://i2p-bt.postman.i2p zum Download bereit.
158
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
10.5 Finger weg von unserösen Angeboten Neben Projekten, die sich wirklich um eine anonyme Lösung für Surfer bemühen, gibt es immer wieder unseriöse Angebote, die unbedarfte Anwender ködern wollen.
•
Teilweise versuchen diese Anbieter mit kommerziellen oder werbenanzierten Angeboten Geld zu verdienen.
•
Teilweise geht es vor Allem darum, die Surfer auf die eigenen Dienste zu locken, um Informationen über das Surfverhalten zu sammeln.
10.5.1 Cloaksh Cloaksh ist ein Projekt, welches kommerziellen Zugri auf das kostenfrei zugängliche Tor-Netz bieten möchte. Eine Client-Software, die als Closed-Source zum Download bereitsteht, soll es vor allem SEOs ermöglichen, sich über die Tor-Exit-Nodes mit vielen verschiedenen IP-Adressen im Web zu bewegen. (laut Eigen-Werbung bis zu 25.000 verschieden IP-Adressen pro Monat) Diskussionen zu Cloaksh und verunglückte Beispiele von Postings, die unter falschem Pseudonym Werbung für die Software machen wollen, ndet man bei gulli, im Forum der GPF und im Forum von JonDonym. Kurze Zusammenfassung: 1. Die Tor-Entwickler missbilligen diese Nutzung des Tor-Netzwerkes, da die Load-Balancing Algorithmen von Tor durch diese Software gestört werden. 2. Entgegen der Behauptung auf der Webseite des Projektes sind die Entwickler von Cloaksh den Tor Developern unbekannt. 3. Durch
die
Verwendung
von
nur
einem
Tor-Node
statt
der
übli-
chen drei Tor-Nodes in einer Verbindung wird die Anonymität der Nutzer
stark
onymität
eingeschränkt
erreicht,
wie
ein
und
nicht
schnell
die
nächste
aufgezogenes
Stufe
der
Werbe-Blog
Anunter
http://wiekannichmeineipverstecken.wordpress.com suggerieren möchte. 4. Die Software wird bei den Black SEO intensiv beworben.
10.5.2 CyberGhost Mit Hilfe von Cyberghost soll jeder - völlig kostenfrei - 100 % anonym im Internet surfen, Files downloaden oder Dateien austauschen können.
Im Gegensatz zum groÿen Bruder Bild ist die ComputerBild geradezu subversiv. So hieÿ das Titelthema des Heftes 24/2008 Anonym Surfen. Anbei eine
CD
mit
einem
Programm
des
Anonymisierungsdienstes
inklusive eine Jahresaccounts, der sonst 70,- Euro kostet.
CyberGhost
10.5.
FINGER WEG VON UNSERÖSEN ANGEBOTEN
159
Die Stimme des Volkes sollte sich nun auch im Internet frei artikulieren können. CyberGhost leitet den Datenverkehr über einen einzelnen schnellen Proxy in Deutschland und verschleiert so die IP-Adresse ohne dass dies allzu viel Zeit kostet. Die ComputerBild Leser sollten ihre Anonymität ohne Komforteinbuÿen genieÿen können. Geht das tatsächlich? Ja, das sagt sogar der TÜV. Die ComputerBild lieÿ den Dienst vom Tochterunternehmen LGA testen:
Das Ergbnis: Mit der Premium-Version von CyberGhost VPN bleiben ihre Wege im Internet verborgen. Eine Garantie, die bisher einmalig ist. Damit stand dem Erfolg nichts mehr im Wege. Das Siegel einer Behörde hat für den Deutschen den gleichen Wert wie für einen Italiener der Segen des Papstes. Die Leute rissen den Händlern die Hefte aus den Händen, manche kauften sogar mehrere. Fachleute hätten allerdings vorher die Frage gestellt, inwiefern der TÜV überhaupt 100prozentige Sicherheit garantieren kann. Indizien sprechen gegen seine Kompetenz. Wäre der TÜV-Prüfer in der Lage gewesen, einen Browser zu bedienen, hätte er vielleicht einen Beitrag im CyberGhost-Forum gefunden: http://www.sad-forum.de/board/index.php?page=Thread&threadID=398. Dort fragt ein Kunde, ob es möglich wäre, die Verbindung zu unterbrechen, wenn der Kontakt zum CG-Proxy abreiÿt. Sie haben richtig gelesen! Schon ein halbes Jahr vor der TÜV-Prüfung stellte ein Nutzer fest, das der CyberGhost Client einfach die reale IP-Adresse sendet, wenn CG nicht erreichbar ist, was alle paar Stunden mal vorkommt. Wie soll man anonym ein regierungskritisches Blog betreiben, wenn man bei jedem dritten Einloggen die eigene IP-Adresse in den Logs hinterlässt? Die Mentalität der Betreiber ist an der Einstellung zur Vorratsdatenspeicherung gut ablesbar. Auszug aus einem Rundschreiben an alle Nutzer:
Die gute Nachricht zuerst: Mit CyberGhost VPN surfen Sie auch in 2009 100% anonym.
Da wir zur Datenvorratspeicherung verpichtet sind, speichern wir ab dem 01.01.2009 für sechs Monate bei jeder Verbindung mit einem CyberGhost-Server (Premium oder Basic) folgende Verkehrsdaten:
Die Kennung (User-ID und Einwahl-IP-Adresse) und die IP-Adresse des zugewiesenen CyberGhost-Servers und den Zeitpunkt (Datum und Uhrzeit) des Logins auf den Server sowie den Zeitpunkt (Datum und Uhrzeit) des Logouts vom Server. Die versprochene 100%tige Anonymität ergibt sich laut Erklärung der Betreiber einzig aus dem Fakt, dass zu einem beliebigen Zeitpunkt mehrere
160
KAPITEL 10.
ANONYMISIERUNGSDIENSTE
Surfer einen CyberGhost-Server nutzen und die Deanonymisierung mittels IP-Adresse damit mehrdeutig wäre. Weder die Tor-Community noch die Betreiber von JonDonym sind der Meinung, dass diese Mehrdeutigkeit ein hinreichendes Kriterium für Anonymität ist, selbst wenn CyberGhost stabil funktionieren würde.
10.5.3 CTunnel.com CTunnel.com bietet einen webbasierten Proxy und verspricht eine anonyme Nutzung des Internet. Die Entwickler haben sich groÿe Mühe gegeben, die Nutzung des Dienstes mit deaktiviertem Javascript unmöglich zu machen. Der gesamte Inhalt der Website ist base64 encoded und wird von einer JavascriptFunktion geschrieben. Die an
drei
IP-Adressen
der
Datensammler
Nutzer
werden
verschickt.
Neben
bei
aktiviertem
Google
Javascript
Analytics
erhalten
gleich auch
xtendmedia.com und yieldmanager.com diese Information. Google Analytics ist bekannt, die beiden anderen Datensammler sind Anbieter von Werbung. Die Website enthält keinen Hinweis auf die Datenweitergabe. Zumindest im Fall von Google Analytics besteht jedoch eine Informationspicht. Die Ereignisse rund um den Sahra-Palin-Hack zeigen, dass auch der Dienst selbst Informationen über die Nutzer speichert. Die Kommunikationsdaten werden selbst bei kleinen Vergehen an Behörden weitergegeben. Eine seltsame Auffassung von Anonymität.
10.5.4 Proxy-Listen In der Anfangszeit des Internets nutzten Cypherpunks die Möglichkeit, ihre IP-Adresse mit mehreren Proxies zu verschleiern. Der Datenverkehr wird über ständig wechselnde Proxies geleitet, so dass der Webserver ständig eine andere IP-Adresse sieht. Es gibt Tools, die diesen Vorgang automatisieren. Der Vorteil liegt in der im Vergleich zu Mixkaskaden und Onion-Routern höheren Geschwindigkeit. Der oensichtliche Nachteil ist, dass der Datenverkehr zwischen eigenem Rechner und den Proxies meist unverschlüsselt ist. Inzwischen ist diese Idee häug pervertiert. Im Internet kursierende Proxylisten sind alles andere als anonym. So wurde beispielsweise im Mai 2007 in der Newsgruppe alt.privacy.anon-server eine Liste gepostet, die mit verschiedenen DNS-Namen für Proxies gut gefüllt war. Eine Überprüfung der Liste ergab, dass hinter allen die gleiche IP-Adresse und somit derselbe Server steckt. Der Betreiber des Servers erhält eine website-übergreifende Zusammenfassung des Surfverhaltens der Nutzer!
10.5.
FINGER WEG VON UNSERÖSEN ANGEBOTEN
Abbildung 10.20: Surfen über wechselnde Proxies
161
Kapitel 11
Daten verschlüsseln Dass die Verschlüsselung von Daten der Erhaltung einer Privatsphäre dient, bemerkt man spätestens, wenn ein USB-Stick verloren geht. Wird ein Laptop gestohlen, möchte man die Fotosammlung sicher nicht im Internet sehen. Investigative Journalisten, Rechtsanwälte und auch Priester haben das Recht und die Picht, ihre Informanten bzw. Klienten zu schützen. Sie sollten sich frühzeitig Gedanken über ein Konzept zur Verschlüsselung machen. Die kurzen Beispiele zeigen, dass unterschiedliche Anforderungen an eine Verschlüsselung bestehen können. Bevor man wild anfängt, alles irgendwie zu verschlüsseln, sollte man sich Gedanken über die Bedrohung machen, gegen die man sich schützen will: 1.
Schutz sensibler Daten wie z.B. Passwortlisten, Revocation Certicates o.ä. erfordert die Speicherung in einem Container oder verschlüsselten Archiv, welches auch im normalen Betrieb geschlossen ist.
2.
Schutz aller persönlichen Daten bei Verlust oder Diebstahl von Laptop oder USB-Stick erfordert eine Software, die transparent arbeitet ohne den Nutzer zu behindern und bei korrekter Anmeldung möglichst automatisch den Daten-Container önet (beispielsweise TrueCrypt für WINDOWS oder DM-Crypt für Linux).
3.
Backups auf externen Medien enthalten in der Regel die wichtigen privaten Daten und sollten ebenfalls verschlüsselt sein. Dabei sollte die Wiederherstellung auch bei totalem Datenverlust möglich sein. Es ist nicht sinnvoll, die Daten mit einem PGP-Schlüssel zu chirieren, der nach einem Crash nicht mehr verfügbar ist.
4. Wer eine
Manipulation der Sytemdaten befürchtet, kann seinen Rech-
ner komplett verschlüsseln (mit Truecrypt für WINDOWS, DM-Crypt für Linux oder GELI für FreeBSD) und von einem sauberen USB-Stick booten.
5. Zur
Herausgabe von Schlüsseln im Fall einer Beschlagnahme des Rech-
ners oder verschlüsselten Datenträgers gibt es immer wieder Missverständ-
162
163
nisse. In Deutschland gelten folgende gesetzlichen Reglungen:
•
Richten sich die Ermittlungen gegen den Besitzer des Rechners oder Datenträgers muss man grundsätzlich keine Keys herausgeben.
•
Richten sich die Ermittlungen gegen Dritte, kann man die Herausgabe von Keys verweigern, wenn man sich auf das Recht zur Zeugnisverweigerung berufen oder glaubhaft(!) versichern kann, dass man sich damit selbst belasten würde. Im Zweifel sollte man einen Anwalt konsultieren.
In Groÿbritannien ist es bereits anders. Gemäÿ dem dort seit Oktober 2007 geltendem RIPA-Act können Nutzer von Verschlüsselung unter Strafandrohung zur Herausgabe der Schlüssel gezwungen werden. Es drohen bis zu 2 Jahre Gefängnis oder Geldstrafen. Das die Anwendung des Gesetzes nicht auf die bösen Terroristen beschränkt ist, kann man bei Heise nachlesen. Es wurde als ersten gegen eine Gruppe von Tierschützern angewendet.
164
KAPITEL 11.
DATEN VERSCHLÜSSELN
11.1 Quick and Dirty mit GnuPG Eine Möglichkeit ist die Verschüsselung einzelner Dateien mit GnuPG oder PGP. Einfach im bevorzugten Dateimanager mit der rechten Maustaste auf eine Datei klicken und den Menüpunk Datei verschlüsseln wählen. Mit der Auswahl eines Schlüssels legt man fest, wer die Datei wieder entschlüsseln kann. In der Regel wird der eigene Schlüssel verwendet. Anschlieÿend ist das unverschlüsselte Orginal NICHT(!) in den Papierkorb sondern in den Reiÿwolf zu werfen. Zum Entschlüsseln reicht in der Regel ein Klick (oder Doppelklick) auf die verschlüsselte Datei. Nach Abfrage der Passphrase für den Schlüssel liegt das entschlüsselte Orginal wieder auf der Platte.
11.1.1 GnuPG für WINDOWS Diese simple Verschlüsselung klappt allerdings unter WINDOWS nicht auf Anhieb. Es ist zuerst die nötige Software zu installieren. Folgende Varianten kann ich empfehlen: 1. Das Programmpaket
gpg4win enthält neben einer aktuellen Version von
GnuPG auch einige grasche Tools, welche die Arbeit sehr vereinfachen, beispielsweise die Erweiterung GpgEX für den Explorer und die Schlüsselverwaltung GPA. Das Paket steht unter http://www.gpg4win.de zum Download bereit. 2. Die Programme
GnuPG und GPGShell: GPGshell ist ein ein grasches
Tool, welches auch das Kontextmenü des Explorers erweitert. Kai Raven hat unter http://hp.kairaven.de/pgp/gpg/gpg7.html eine ausführliche Anleitung zur Nutzung geschrieben. Nach der Installation ist ein Schlüsselpaar zu generieren, bestehend aus einem
öentlichen
Schlüssel
für
die
Verschlüsselung
und
einem
geheimen
Schlüssel für die Entschlüsselung. Dann kann es losgehen. Sollen mehrere Dateien in einem Container verschlüsselt werden, erstellt man ein neues Verzeichnis und kopiert die Dateien dort hinein. Anschlieÿend verpackt man dieses Verzeichnis mit WinZip, 7zip oder anderen Tools in ein Archiv und verschlüsselt dieses Archiv. Es sind danach alle(!) Orginaldateien in den Reiÿwolf zu werfen.
11.2.
TRUECRYPT FÜR WINDOWS
165
11.2 Truecrypt für WINDOWS Truecrypt basiert auf dem Projekt Encryption for the masses. Die Software bietet transparente Ver- und Entschlüsselung beim Laden oder Speichern von Daten unter WINDOWS XP/2000/2003 und Linux. Neben der Verschlüsselung von Daten auf der Festplatte ist es auch für USB-Sticks geeignet. Eine passende Metapher für das Konzept von Truecrypt ist der Container. Ein Container steht rum und nimmt Platz weg, egal ob er leer oder voll ist. In diesem Fall belegt der Container Platz auf der Festplatte oder dem USB-Stick. Ist der Container verschlossen, kommt niemand an die dort lagernden Daten heran. Mit einem Schlüssel kann der Container geönet werden (gemounted: in das Dateisystem eingefügt) und jeder, der an einem oenen Container vorbeikommt, hat Zugri auf die dort lagernden Daten. Als Schlüssel dient eine Passphrase und/oder Schlüsseldatei(en). Der Zugri auf Dateien innerhalb des geöneten Containers erfolgt mit den Standardfunktionen für das Önen, Schlieÿen und Löschen von Dateien. Auch Verzeichnisse können angelegt bzw. gelöscht werden. Die Verschlüsselung erfolgt transparent ohne weiteres Zutun des Nutzers.
Mit doppeltem Boden Ein Feature von Truecrypt ist das Konzept des versteckten Volumes, eine Art doppelter Boden für den Container. Der Zugri auf diesen Bereich ist mit einem zweiten Schlüssel geschützt, einer weiteren Passphrase und/oder Schlüsseldatei(en). Önet man den Container mit dem ersten Schlüssel, erhält man Zugri auf den äuÿeren Bereich. Verwendet man den zweiten Schlüssel zum Önen des Containers, erhält man Zugri auf den versteckten Inhalt hinter dem doppelten Boden. Während ein einfacher Container leicht als verschlüsselter Bereich erkennbar ist, kann der doppelte Boden innerhalb eines Containers ohne Kenntnis des zweiten Schlüssels nicht nachgewiesen werden. Ist man zur Herausgabe der Schlüssel gezwungen, kann man versuchen, nur den Schlüssel für den äuÿeren Container auszuhändigen und die Existenz des doppelten Bodens zu leugnen. Ob es plausibel ist, die Existenz des doppelten Bodens zu leugnen, hängt von vielen Faktoren ab. Zeigt z.B. die Historie der göneten Dokumente einer Textverarbeitung, dass vor kurzem auf einen verschlüsselten Bereich zugegrien wurde, und man präsentiert einen äuÿeren Container, dessen letzte Änderung Monate zurück liegt, trit man wahrscheinlich auf einen verärgerten Richter. Auch der Index verschiedener Programme für die Indexierung der Dokumente auf dem lokalen Rechner (WINDOWS Suche, Google Desktop Search...) liefern möglicherweise Hinweise auf den versteckten Container.
166
KAPITEL 11.
DATEN VERSCHLÜSSELN
Wie gulli.com am 6.10.08 berichtete, ist es unter Umständen möglich, die Existens des versteckten Volumes nachzuweisen. Also Vorsicht bei Nutzung dieses Features.
11.2.1 Truecrypt installieren Für die Installation von Truecrypt werden folgende Pakete benötigt:
•
Truecrypt von der Site des Projektes www.truecrypt.org
•
Deutsche Sprachanpassung aus den Language Packs von Truecrypt
Nach dem Download sind die ZIP-Archive zu entpacken. In dem neuen Ordner truecrypt-x.y ndet man die Setup-Datei. Diese ist als Administrator zu starten und in dem Install-Assistenten sind die Vorgaben evtl. anzupassen. Ein Klick auf den Button Install startet den Prozess. Im Anschluÿ ndet man ein Icon auf dem Desktop und einen neuen Eintrag im Menü. Anschlieÿend ist die Datei Language.de.xml aus dem Paket der Sprachanpassung in das Verzeichnis der installierten EXE-Datei zu kopieren.
11.2.2 Gedanken zum Schlüssel Bevor man einen verschlüsselten Container erstellt, sollte man sich Gedanken über den Schlüssel zum Önen des Containers machen.
•
Eine
Passphrase sollte gut merkbar sein und mindestens 20 Zeichen lang
sein. Auÿer Buchstaben sollte sie auch Sonderzeichen und Ziern enthalten. Das schüttelt man nicht einfach aus dem Ärmel. Wie wäre es mit folgender Phrase:
das geht nur %mich% _AN_ •
Ein
Keyle kann eine beliebige Datei mit mindestens 1024 Byte Gröÿe
sein. Truecrypt bietet die Möglichkeit, gute Keyles zu generieren (Menüpunkt: Schlüsseldateien -> Schlüsseldatei aus Zufallswerten erstellen im Hauptfenster). Man kann z.B. einen USB-Stick mit Keyle(s) vorbereiten. Dieser Stick enthält eine oder mehrere Dateien, welche als Keyle(s) genutzt werden. Diese Datei(en) können als Standardschlüssel deniert werden (Menüpunkt:
Schlüsseldateien -> Standardschlüsseldateien festlegen ). Zukünftig ist vor dem Önen eines Containers lediglich der Stick einzustecken. Es funktioniert wie ein mechanischer Schlüssel und man wird nicht mehr mit einer Passwortabfrage belästigt.
11.2.
TRUECRYPT FÜR WINDOWS
167
11.2.3 Verschlüsselten Container erstellen Startet man Truecrypt oder klickt auf das blaue Symbol im Systray, so önet sich das Hauptfenster. Der Button Volume erstellen ruft einen Assistenten auf, der schrittweise alle nötigen Angaben zur Erstellung eines Volumes abfragt und umfangreiche Erläuterungen bietet. Eingeschränkte Nutzer können lediglich verschlüsselte reguläre Containerdateien erstellen. Administratoren können auÿerdem Festplattenpartitionen und USB-Sticks verschlüsseln, Hidden Volumes (versteckte Container) erstellen und WINDOWS komlett verschlüsseln.
Abbildung 11.1: Assistent zur Erstellung eines Containers
Im Folgenden wird der Ablauf zur Erstellung einer verschlüsselten Containerdatei beschrieben: 1. Auswahl des Containertypes (reguläres oder verstecktes Volume). Soll ein verstecktes Volume erstellt werden, ist zuerst ein normales Volume zu erstellen, in dem anschlieÿend das zweite Volume versteckt werden kann. 2. Im zweiten Schritt ist der Dateiname für den Container anzugeben oder als Datenträger die Festplattenpartition bzw. der USB-Sticks (nur als Administrator). Es ist auch als eingeschränkter Nutzer möglich, eine Datei auf einem USB-Stick zu erstellen. Diese Datei könnte 2/3 des Sticks einnehmen. Der Stick kann dann bei Notwendigkeit auch ohne Truecrypt genutzt werden. 3. Im dritten Schritt ist die Gröÿe der Datei anzugeben. Dieser Schritt entfällt, wenn eine Partition oder USB-Stick komplett verschlüsselt wird.
168
KAPITEL 11.
DATEN VERSCHLÜSSELN
4. Im vierten Schritt ist der Schlüssel für das Önen des Containers festzulegen. Ein gutes Passwort sollte mindestens 20 Zeichen lang sein. Wer Probleme mit Passwörtern hat, läÿt die Eingabefelder leer und nutzt Keyles (z.B. vom vorbereiteten USB-Stick). 5. Die Verschlüsselungseinstellungen im fünften Schritt sind mit den Defaultwerten sinnvoll vorbelegt. 6. Im letzten Schritt ist das Dateisystem festzulegen, mit welchem der verschlüsselte Bereich formatiert wird. FAT32 ist in den meisten Fällen ausreichend und kann auch unter Linux gelesen werden. Lediglich für sehr groÿe Container oder die Verschlüsselung der Eigenen Dateien würden wir NTFS empfehlen. 7. Im Anschluÿ wird der Container erstellt. Es ist empfehlenswert, dabei mit der Maus einige sinnlose Bewegungen auszuführen, um hinreichend Entropie für die Zufallsinitialisierung anzusammeln.
Abbildung 11.2: Hauptfenster von Truecrypt
11.2.4 Verschlüsselten Container önen Truecrypt-Container werden beim Önen grundsätzlich als neue Laufwerke eingehängt. Das in Bild 11.2 dargestellte Hauptfenster von Truecrypt bietet die Möglichkeit, einen Buchstaben für das Laufwerk und die einzubindende Container-Datei bzw. den Datenträger zu wählen. Zu beachten ist die Option Verlauf nicht speichern. Ist diese Option aktiv, wird die Historie der geöneten Container ständig gelöscht. Die Container sind auf der Festplatte oder dem USB-Stick nicht anhand eines speziellen Header
11.2.
169
TRUECRYPT FÜR WINDOWS
als verschlüsselte Bereiche erkennbar. Sie sehen aus, wie zufälliger Datenmüll.
Abbildung 11.3: Eingabe des Schlüssels
Anschlieÿend
ist
der
Button
Einbinden
zu
wählen.
Das
in
Bild
11.3
dargestellte Fenster zur Eingabe der Schlüssel erscheint. Hier ist der Schlüssel für das Önen des Containers einzugeben (die Passphrase oder/und das Keyle). Einige Abkürzungen für das Önen von Containern:
•
Ein Klick auf eine Datei mit der Endung .tc im Explorer önet das Hauptfenster von Truecrypt und setzt den Namen der Datei als zu önendes Volume.
•
Es ist möglich, Favoriten zu denieren und diese alle zusammen über den Menüpunkt Volumes -> Favoriten einbinden einzubinden. Favoriten deniert man, indem diese Container eingebunden werden und anschlieÿend die Konguration über den Menüpunkt Volumes -> als Favoriten spei-
chern gesichert wird.
•
Als Favoriten denierte Container können bei Start von Truecrypt automatisch eingebunden werden. Unter Einstellungen -> Voreinstellungen ist hierfür die entsprechende Option zu aktivieren.
•
Wird Truecrypt bei der Anmeldung automatisch gestartet, können auch die Favoriten bei Anmeldung eingebunden werden.
•
Der Button Alle Datentr. einbinden untersucht alle Partitionen und USBSticks auf Verschlüsselung. Es erscheint nacheinander der Dialog für die Schlüsseleingabe. Der Vorgang kann einige Zeit dauern.
11.2.5 Verschlüsselten Container schlieÿen Alle geöneten Container werden standardmäÿig bei der Abmeldung geschlossen. Auÿerdem gibt es mehrere Möglichkeiten, einen geöneten Container während der Arbeit wieder zu schlieÿen:
•
Ein Klick mit der rechten Maustaste auf das Truecrypt-Icon im Systray önet ein Menü, welches für alle eingebundenen Container das Trennen anbietet.
•
Im Hauptfenster von Truecrypt kann man mit der rechten Maustaste auf einen eingebundenen Container klicken und ihn trennen.
170
KAPITEL 11.
•
DATEN VERSCHLÜSSELN
Der Button Alle trennen im Hauptfenster von Truecrypt schlieÿt alle eingebundenen Container.
ACHTUNG: Auch ein Beenden von Truecrypt im Systray schlieÿt die Container nicht(!). Der Dämon läuft weiter. Erst die Abmeldung des Nutzers oder ein Ausschalten des Systems schlieÿt alle Container.
11.2.6 WINDOWS komplett verschlüsseln Die aktuelle Version von Truecrypt ermöglicht es, WINDOWS bei laufenden Betrieb in einen verschlüsselten Container zu verschieben. Damit ist es für einen heimlichen Besucher sehr schwer, das System im ausgeschalteten Zustand zu kompromittieren. Es ist jedoch nicht unmöglich, wie das Stoned Bootkit zeigt, siehe http://www.stoned-vienna.com.
Wichtig: Vorrausetzung für die Nutzung dieses Features ist die Möglichkeit, ein CD-ISO-Image zu brennen. Dieses Image, welches während der Installation angelegt und geprüft wird, enthält wesentliche Daten für die Wiederherstellung, wenn es zu Bitfehlern im Header der Systempartition kommt.
Abbildung 11.4: Assistent für die System-Verschlüsselung
Den Assistent für die Systemverschlüsselung startet man im Hauptfenster von Truecrypt über den Menüpunkt System - Encrypt System Partition. Als Erstes wird abgefragt, ob nur die Partition von WINDOWS verschlüsselt werden soll oder die gesamte Festplatte. Die Verschlüsselung der gesamten Festplatte funktioniert nicht, wenn die Platte eine erweiterte Partition mit logischen Partitionen enthält oder wenn mehrere Betriebssysteme installiert sind. Da der Masterboot-Record modiziert wird, bemüht sich Truecrypt, häuge Kombinationen verschiedener Betriebssysteme zu berücksichtigen.
11.2.
171
TRUECRYPT FÜR WINDOWS
Nach der Abfrage des Algorithmus für die Verschlüsselung, der Passphrase (Die mindestens 20 Zeichen lang sein sollte, Keyles können nicht genutzt werden!), und der Generierung von Zufallszahlen folgt die Erstellung der Rescue Disk (Bild 11.5).
Abbildung 11.5: Erstellung der Rescue-Disk
Die
Rescue-Disk
wird
als
ISO-Image
auf
der
Festplatte
abgelegt
und
ist auf eine CD zu brennen. Die neue CD ist ins Laufwerk einzulegen. Truecrypt arbeitet erst weiter, wenn es die korrekte Erstellung der CD überprüft hat.
Im vorletzten Schritt, stellt Truecrypt mehrere Möglichketen zum Löschen der alten, unverschlüsselten Daten zur Auswahl. Es genügt, die Daten einmal zu überschreiben. Dabei werden nicht die einzelnen Dateien überschrieben, sondern die Platte wird sektorenweise bearbeitet. Das garantiert, dass auch Fragmente gelöschter Dateien beseitigt werden.
Da es sich bei der Systemverschlüsselung um einen tiefen Eingri handelt, führt Truecrypt als nächstes einen Test durch. Der PC wird neu gebootet und der Anwender muss am Bootloader sein Passwort eingeben.
Erst wenn dieser Test erfolgreich war, erfolgt die Verschlüsselung des Systems. Dieser Vorgang nimmt je nach Gröÿe der Platte einige Zeit in Anspruch, ca 1-2min pro GByte.
Nach Abschluÿ der Operation ist das System neu zu booten. Dabei wird vom Bootloader wieder das Passwort für den Zugri auf die Systempartition abgefragt.
172
KAPITEL 11.
DATEN VERSCHLÜSSELN
11.2.7 Traveller Disk erstellen Truecrypt ermöglicht es, unter dem Menüpunkt Extras -> Traveller Disk
erstellen einen USB-Stick zu verschlüsseln und zusätzlich die Software selbst in einem unverschlüsselten Bereich hinzuzufügen. Der Stick kann so konguriert werden, dass beim Anschlieÿen des Sticks mit Hilfe der Autostart Funktion Truecrypt startet, den verschlüsselten Container einbindet und den Explorer önet. Dieses Feature soll es ermöglichen, einen verschlüsselten USB-Stick auch an Computern zu nutzen, auf denen Truecrypt nicht installiert ist. Da man für diese Funktion Rechte als Administrator auf dem fremden Rechner benötigt, halte ich das Feature eher für Spielerei. Ein verantwortungsvoller Eigentümer hat mir noch nie diese Rechte eingeräumt und auch ich würde mir gut überlegen, ob jemand auf meinem Rechner Software installieren darf. Für viele Nutzer könnte es aber ein sinnvolles Feature sein.
11.3.
173
DM-CRYPT FÜR LINUX
11.3 DM-Crypt für Linux DM-Crypt ist seit Version 2.6.4 fester Bestandteil des Linux-Kernels und somit in allen aktuellen Distributionen enthalten. Es nutzt den Device-Mapper. Folgende Software wird auÿerdem benötigt:
•
Das Tool
cryptsetup (mit LUKS-Support) kann zum Erstellen, Önen
und Schlieÿen der verschlüsselten Container eingesetzt werden. Aktuelle Distributionen enthalten es: Debian GNU/Linux im Packet cryptsetup, SuSE-Linux im Packet util-linux-crypto.
Einige Distributionen installieren das Tool unter dem Namen cryptsetup-
luks. Die im Folgenden beschrieben Befehlen sind dann entsprechend anzupassen. Besser wäre es, einen Link zu erstellen. Dann funktionieren auch die Scripte mount.crypt und umount.crypt aus der Sammlung pam-mount.
# ln -s /usr/sbin/cryptsetup-luks /sbin/cryptsetup •
Das Packet
pmount enthält einen Wrapper für das mount -Kommando,
welcher automatisch verschlüsselte Laufwerke erkennt und vor dem Einbinden das Passwort abfragt. Aktuelle Debian-Distributionen verwenden es standardmäÿig.
•
Die Sammlung
pam-mount enthält weitere Scripte, das das Önen und
Schlieÿen verschlüsselter Container vereinfachen. Die Scripte ermöglichen beispielsweise des Önen eines Containers automatisch beim Login. Unter Debian installiert man die Tools wie üblich mit
# aptitude install libpam-mount. •
Das
Kernelmodul
dm_crypt muss vor der Verwendung der oben
genannten Scripte geladen werden. In Abhängigheit von der bevorzugten Distribution und der Installationsvariante wird das Modul bereits beim Booten geladen oder ist statisch in initrd.img
eingebunden. Einfach
probieren.
Sollte beim Erstellen oder Önen eines verschlüsselten Containers die folgende Fehlermeldung auftreten:
Command failed: Failed to setup dm-crypt key mapping. Check kernel for support for the aes-cbc-essiv:sha256 cipher ist das Kernel-Modul dm_crypt zu laden:
# modprobe dm_crypt Auÿerdem sollte das Modul in die Liste der beim Systemstart zu ladenen Module eingefügt werden. In der Datei /etc/modules ist die Zeile
dm_crypt anzuhängen.
174
KAPITEL 11.
DATEN VERSCHLÜSSELN
11.3.1 Gedanken zum Passwort An Stelle von Passwort
sollte man vielleicht die Bezeichnung Passphrase
bevorzugen. Sie suggeriert, dass es auch ein wenig länger sein darf und dass Leerzeichen durchaus erlaubt sind. Eine gute Passphrase sollte leicht merkbar aber schwer zu erraten sein. Auÿer Buchstaben sollte sie auch Zahlen und Sonderzeichen enthalten und etwa 20 Zeichen lang sein. Soetwas schüttelt man nicht einfach aus dem Ärmel. Wie wäre es mit folgender Phrase:
das geht nur %mich% _AN_ Zusätzlich
zur
Passphrase
können
auch
Keyles
als
Schlüssel
genutzt
werden. Damit ist es möglich, eine Zwei-Faktor-Authentizierung aufzubauen: eine Passphrase, die man im Kopf hat, und ein Keyle, welches man in der Hand hat. Ein Angreifer müsste beides erlangen. Die LUKS-Erweiterung von cryptsetup erlaubt es, bis zu 8 Passphrasen und Keyles zum Önen eines Containers zu nutzen. Damit ist es möglich, mehreren Nutzern den Zugri mit einem eigenen Passwort zu erlauben. Soll ein verschlüsselter Container mit dem Login eines Nutzers automatisch geönet werden, muss eines der 8 möglichen Passwörter mit dem Login-Passwort des Nutzers identisch sein. Login-Manager wie KDM oder GDM können das eingegebene Passwort an das pam-mount Modul weiterreichen. Dieses Feature kann beispielsweise für ein verschlüsseltes /home Verzeichnis genutzt werden. WICHTIG: bei Änderung des Login-Passwortes muss auch das Paswort für den Container geändert werden. Sie werden nicht automatisch synchronisiert.
11.3.2 Verschlüsselten Container erstellen Alle folgenden Schritte sind als root auszuführen. Zum Aufwärmen soll zuerst die Partition /dev/hda4 verschlüsselt werden. Um einen USB-Stick komplett zu verschlüsseln, wählt man /dev/sdb1 oder /dev/sda1. Es ist vor(!) Aufruf des Kommandos zu prüfen, unter welchem Device der Stick zur Verfügung steht.
# luksformat -t ext3 /dev/hda4 Das ist alles. Der Vorgang dauert ein wenig und es wird 3x die Passphrase abgefragt. Ein Keyle kann dieses Script nicht nutzen!
Verschlüsselten Container erstellen für Genieÿer Am Beispiel einer verschlüsselten Containerdatei werden die einzelnen Schritte beschrieben, welche das Script luksformat aufruft: 1. Zuerst ist eine leere Imagedatei zu erstellen. Im Beispiel wird es unter dem Dateinamen geheim.luks im aktuellen Verzeichnis erstellt. Der Parameter
11.3.
DM-CRYPT FÜR LINUX
175
count legt die Gröÿe in MByte fest. Anschlieÿend ist das Image als LoopDevice einzubinden. Das Kommando losetup -f ermittelt das nächste freie Loop-Device (Ergebnis: loop0 ).
# dd if=/dev/zero of=geheim.luks bs=1M count=100 # losetup -f /dev/loop0 # losetup /dev/loop/0 geheim.luks 2. Die ersten 2 MByte sind mit Zufallswerten zu füllen. Das Füllen der gesamten Datei würde sehr lange dauern und ist nicht nötig:
# dd if=/dev/urandom of=/dev/loop0 bs=1M count=2 3. Anschlieÿend erfolgt die LUKS-Formatierung mit der Festlegung der Verschlüsselung. Die Option -y veranlaÿt eine doppelte Abfrage des Passwortes, das keyle ist optional
# cryptsetup luksFormat -c aes-cbc-essiv:sha256 -s 256 -y /dev/loop0 [ keyfile ] 4. Das formatierte Device wird dem Device-Mapper unterstellt. Dabei wird das zuvor eingegebene Passwort abgefragt. Das Keyle ist nur anzugeben, wenn es auch im vorherigen Schritt verwendet wurde. Der kann frei gewählt werden. Unter /dev/mapper/ wird später auf den verschlüsselten Container zugegrien:
# cryptsetup luksOpen /dev/loop0 [ keyfile ] 5. Wer paranoid ist, kann das verschlüsselte Volume mit Zufallszahlen füllen. Der Vorgang kann in Abhängigkeit von der Gröÿe der Containerdatei sehr lange dauern:
# dd if=/dev/urandom of=/dev/mapper/ 6. Ein Dateisystem wird auf dem Volume angelegt:
# mkfs.ext3 /dev/mapper/ 7. Das Volume ist nun vorbereitet und wird wieder geschlossen:
# cryptsetup luksClose 8. Die Containerdatei wird ausgehängt:
# losetup -d /dev/loop0 Soll eine gesamte Partition verschlüsselt werden (Festplatte oder USB-Stick), entfallen die Schritte 1 und 8. Das in den Schritten 2-7 als Beispiel genutzte Device /dev/loop5 ist durch die Partition zu ersetzen, beispielsweise /dev/hda5 oder /dev/sdb1.
176
KAPITEL 11.
DATEN VERSCHLÜSSELN
11.3.3 Passwörter verwalten Mit root-Rechten ist es möglich, bis zu 7 zusätzliche Passwörter für das Önen eines Containers festzulegen oder einzelne Passwörter wieder zu löschen. Für das Hinzufügen eines Passwortes zu der verschlüsselten Imagedatei ge-
heim.img im aktuellen Verzeichnis ist diese zuerst einzuhängen, beispielsweise als /dev/loop5. Dieser Schritt entfällt für Partitionen:
# losetup /dev/loop5 geheim.luks Das Hinzufügen eines Passwortes und damit eines neuen Keyslots erfolgt mit folgendem Kommando, wobei als <device> beispielsweise /dev/loop5 für die eingebundene Imagedatei oder /dev/hda5 für eine Festplattenpartition anzugeben ist. Das Keyle ist optional.
# cryptsetup luksAddKey <device> [ keyfile ] Ein Keyslot und das zugehörige Passwort können mit folgendem Kommando wieder entfernt werden:
# cryptsetup luksKillSlot <device> <slot> Als <slot> ist die Nummer des Keyslots anzugeben, eine Zahl von 0 is7. Es ist also nötig, sich zu merken, welches Passwort auf welchen Keyslot gelegt wurde. Eine Übersicht, welche Keyslots belegt und welche noch frei sind, liefert
luksDump :
# cryptsetup luksDump <device> LUKS header information for <device> ... Key Slot 0: DISABLED Key Slot 1: ENABLED Iterations: Salt:
Key Key Key Key Key Key
Key material offset: AF stripes: Slot 2: DISABLED Slot 3: DISABLED Slot 4: DISABLED Slot 5: DISABLED Slot 6: DISABLED Slot 7: DISABLED
11.3.4 Verschlüsselten Container önen/schlieÿen Aktuelle Distributionen wie Debian oder Ubuntu erkennen verschlüsselte Partitionen auf Festplatten und USB-Sticks automatisch und fragen die Passphrase ab, sobald das Gerät erkannt wird. Einfach Anschlieÿen, auf den PasswortDialog wie im Bild 11.6 warten - fertig.
11.3.
177
DM-CRYPT FÜR LINUX
Abbildung 11.6: Passwort-Abfrage für verschlüsselten USB-Stick
Auf der Kommandozeile Sollte es mit dem automatischem Önen des verschlüsselten USB-Sticks nicht funktionieren, kann man auf der Kommandozeile nachhelfen. pmount arbeitet mit User-Privilegien und bindet die Partition unter /media ein. pmount kann keine Containerdateien önen.
> pmount /dev/sda1 Enter LUKS passphrase: Geschlossen wird der Container mit pumount :
> pumount /dev/sda1 Die Sammlung pam-mount enthält zwei weitere Scripte, welche die Arbeit mit verschlüsselten Containerdateien vereinfachen. Wurde auÿerdem sudo entsprechend konguriert, stehen die folgenden Kommandos jedem Nutzer zur Verfügung. Eine verschlüsselte Partition (beispielsweise der USB-Stick unter /dev/sda1) kann mit folgendem Kommando geönet und im Verzeichnis /mnt eingebunden werden:
> sudo /sbin/mount.crypt /dev/sda1 /mnt Enter LUKS passphrase: Das folgende Kommando önet die verschlüsselte Imagedatei geheim.luks aus dem aktuellen Verzeichnis und hängt sie unter /mnt in das Dateisystem ein:
> sudo /sbin/mount.crypt Enter LUKS passphrase:
geheim.luks
/mnt
-o
loop
Geschlossen wird der Container mit folgendem Komando:
> sudo /sbin/umount.crypt /mnt Für häug genutzte Container könnte man einen Menüeintrag oder ein Desktop-Icon anlegen. Dabei ist zu beachten, dass die Option Im Terminal aus-
führen aktiviert wird! Anderenfalls kann man keine Passphrase eingeben.
178
KAPITEL 11.
DATEN VERSCHLÜSSELN
Für jene, die es genau wissen wollen Das Önen einer Containerdatei auf der Komadozeile erfordert drei Schritte als root. Als erstes ist die verschlüsselte Imagedatei einzuhängen. Dieser Schritt entfällt für Partitionen. Im zweiten Schritt ist das verschlüsselte Device dem Device-Mapper zu unterstellen. Der Name kann dabei frei gewählt werden. Im dritten Schritt kann es mit mount in das Dateisystem eingehängt werden, beispielsweise nach /mnt.
# losetup /dev/loop5 geheim.luks # cryptsetup luksOpen /dev/loop5 # mount /dev/mapper/ /mnt
[ keyfile ]
Das Schlieÿen des Containers erfolgt in umgekehrter Reihenfolge:
# umount /mnt # cryptsetup luksClose # losetup -d /dev/loop5 Komfortabel beim Login Mit Hilfe des Modules pam-mount ist es möglich, das Anmeldepasswort zu nutzen, um standardmäÿig beim Login einen oder mehrere Container zu önen. Insbesondere für verschlüsselte /home Partitionen ist dies sinnvoll und komfortabel. Folgende Kongurationen sind für einen Crypto-Login anzupassen: 1.
PAM-Konguration: Dem PAM-Dämon ist mitzuteilen, dass er das Modul mount zu verwenden hat und das Login-Passwort zu übergeben ist. Gut vorbereitete Distributionen wie Debian und aktuelle Ubuntu(s) benötigen nur einen Eintrag in den Dateien /etc/pam.d/login, /etc/pam.d/kdm und /etc/pam.d/gdm :
@include common-pammount 2.
pam-mount Modul: Das Modul wird konguriert in der XML-Datei /etc/security/pam_mount.conf.xml. Am Anfang der Datei ndet man eine Section für Volumes, die beim Login geönet werden sollen. Im ersten Beispiel wird bei allen Logins die verschlüsselte Partition /dev/hda4 als /home eingebunden:
Das zweite Beispiel zeigt die Einbindung einer verschlüsselten Containerdatei /geheim.luks als HOME für den User pitschie. Die Containerdatei wird nur geönet, wenn Pitschie sich anmeldet.
3.
fstab: Da beim Booten keine Partition nach /home gemountet werden soll, ist evtl. der entsprechende Eintrag in der Datei /etc/fstab zu löschen.
11.3.
179
DM-CRYPT FÜR LINUX
11.3.5 Debian GNU/Linux komplett verschlüsseln In einem komplett verschlüsselten Sytem sind sowohl die Daten als auch die Systemkonguration und Software verschlüsselt. Debian ab Version 4.0r1 (etch) bietet bereits beim Installieren die Option, ein komplett verschlüssltes System unter Ausnutzung der gesamten Festplatte zu installieren. Lediglich für /boot bleibt ein kleiner unverschlüsselter Bereich. Um diese einfache Variante zu nutzen, wählt man im Installations-Dialog
Festplatte partitionieren die Option Geführt - gesamte Platte mit verschlüsseltem LVM. Im folgenden Schritt ist die Passphrase einzugeben, welche das System sichert. Diese Passphrase wird später bei jedem Bootvorgang abgefragt.
Partitionsmethode: Geführt - verwende vollständige Festplatte Geführt - gesamte Platte verwenden und LVM einrichten > Geführt - gesamte Platte mit verschlüsseltem LVM Manuell Ubuntu-Nutzer können die
alternate desktop cd nutzen, die kein Live-
System enthält, dafür aber mehr Optionen für die Installation bietet. Die Standard-Edition von Ubuntu bietet dieses Feature nicht! Ein vollständig verschlüsseltes System macht es böswilligen Buben sehr schwer, bei einem heimlichen Hausbesuch die Software zu manipulieren und einen Trojaner zu installieren. Es ist jedoch nicht unmöglich. Wer noch einen Schritt weiter gehen will, erstellt eine bootfähige CD-ROM mit einer Kopie des sauberen Verzeichnis /boot und bootet in Zukunft immer von der CD. (Oder man geht zum Psychater und lässt seine Paranoia behandeln.)
11.3.6 SWAP und /tmp verschlüsseln Das /tmp -Verzeichnis und der SWAP Bereich können unter Umständen persönliche Informationen enthalten, die im Verlauf der Arbeit ausgelagert wurden. Wenn eine komplette Verschlüsselung des Systems nicht möglich ist, sollte man verhindern, das lesbare Datenrückstände in diesen Bereichen verbleiben. Das Verzeichnis /tmp kann man im RAM des Rechners ablegen, wenn dieser hinreichend groÿ dimensioniert ist. Mit dem Ausschalten des Rechners sind alle Daten verloren. Um diese Variante zu realisieren bootet man den Rechner im abgesicherten Mode, beendet die grasche Oberäche (X-Server) und löscht alle Dateien in /tmp. In der Datei /etc/fstab wird folgender Eintrag ergänzt:
tmpfs
/tmp
tmpfs
defaults,size=256m
0 0
Die Bereiche SWAP und /tmp können im Bootprozess als verschlüsselte Partitionen mit einem zufälligen Passwort initialisiert und eingebunden werden. Mit dem Ausschalten des Rechners ist das Passwort verloren und ein Zugri auf diese Daten nicht mehr möglich.
Achtung: Suspend-to-RAM und Suspend-to-Disk funtionieren mit einer verschlüsselten SWAP-Partition noch nicht.
180
KAPITEL 11.
DATEN VERSCHLÜSSELN
Debian GNU/Linux Debian und Ubuntu enthalten ein Init-Script, welches eine einfache Verschlüsselung von SWAP und /tmp ermöglicht, wenn diese auf einer eigenen Partition liegen. In der Datei /etc/crypttab sind die folgenden Zeilen einzufügen, wobei
/dev/hda5 und /dev/hda8 durch die jeweils genutzten Partitionen zu ersetzen sind: cryptswp
/dev/hda5
/dev/urandom
swap
crypttmp
/dev/hda8
/dev/urandom
tmp
In der Datei /etc/fstab sind die Einträge für swap und /tmp anzupassen: /dev/mapper/cryptswp
none
/dev/mapper/crypttmp
/tmp
swap ext2
sw
0 0
defaults
0 0
Anschlieÿend ist der Rechner neu zu booten und beide Partitionen sind verschlüsselt.
Achtung: Die Partition für /tmp darf kein Dateisystem enthalten! Soll eine bereits verwendete /tmp -Partionion verschlüsselt werden, ist diese erst einmal nach dem Beenden des X-Servers(!) zu dismounten und zu überschreiben:
# umount /tmp # dd if=/dev/zero of=/dev/hda8
11.3.7 System komplett verschlüsseln für Genieÿer Wer mehrere Betriebssysteme auf seinem Rechner hat oder /boot
für die
ultimative Sicherheit gern auf dem USB-Stick mit sich trägt, kann schrittweise vorgehen. Die folgende Anleitung wurde mit Debian 4.0 (etch) getestet, sie sollte auch mit den Ubuntus funktionieren. Für SuSE und Red Hat sind Anpasungen nötig. Da kein Rechner von einem verschlüsselten Dateisystem booten kann, liegen der Bootloader und die initrd auf einem unverschlüsselten USB-Stick, der sicher aufzubewahren ist. Eine komlette Verschlüsselung ist ein tiefer Eingri, man verbindet es am besten mit einer Neuinstallation.
Platte partitionieren Für die Umsetzung dieses HowTo benötigt man 4 Partitionen, zwei Vorschläge für die Partitionierung einer 80GB Festplatte: ohne WINDOWS
mit WINDOWS /dev/hda1
WINDOWS
/dev/hda2
erweiterte Partition
/dev/hda1
/dev/hda5
Root-Partition (10-13GB)
/dev/hda2
/dev/hda6
swap (1-2GB)
/dev/hda3
/dev/hda7
/tmp (4 GB)
/dev/hda4
/dev/hda8
/home (Rest)
11.3.
DM-CRYPT FÜR LINUX
181
Ich benötige WINDOWS nicht und verwende im folgenden die erste Partitionierung. Der USB-Stick ist bei mir unter /dev/sda1 zu nden.
Debian installieren Die Installation von Debian oder Ubuntu erfolgt zuerst einmal auf die später für /home genutzte Partition /dev/hda4 und wird später in die verschlüsselte Root-Partition verschoben. Bei der Installation sind keine(!!!) User anzulegen. Auch die Pakete yaird, cryptsetup und pammount sind zu installieren.
Verschlüsseln der Root-Partition Wie unter Container erstellen beschrieben, wird die zukünftige Root-Partition verschlüsselt. Anschlieÿend wird das System in die neue Root-Partition kopiert:
# # # #
mkdir /cryptroot mount.crypt /dev/hda1 /cryptroot cd / cp -ax bin etc dev home lib media opt root sbin usr var /cryptroot
USB-Stick vorbereiten Der USB-Stick soll alles nötige für das Booten des Rechners enthalten. Nachdem er am Rechner angeschlossen wurde, kann man mit folgendem Kommando feststellen, unter welcher Device-Kennung er zu nden ist:
# ls /dev/sd?1 Das letzte Device in der Liste ist der USB-Stick, wenn die Festplatte eine IDE-Platte ist, ndet man den Stick als /dev/sda1, hat man eine SCSI- oder SATA-Platte, ist der Stick meist unter /dev/sdb1 zu nden. Ich verwende im folgenden /dev/sda1. Dieser Stick wird erst einmal neu formatiert, anschlieÿend eingebunden, der Inhalt von /boot wird auf den Stick kopiert und ein symbolischer Link ist anzulegen, damit grub-install nicht durcheinander kommt.
# # # # #
mkfs.ext2 /dev/sda1 mount /dev/sda1 /mnt cp -ax /boot/* /mnt cd /mnt ln -s . boot
Einige kleine Anpassungen sind in der Grub-Konguration nötig. In der Datei /mnt/grub/device.map ist folgender Eintrag erforderlich:
(hd0,0) /dev/sda In der Datei /mnt/grub/menu.lst sind alle Einträge für den Kernel auf ker-
nel (hd0,0) zu ändern. Abschlieÿend ist der Bootloader Grub im Master Boot Record des USB-Sticks zu installieren:
# grub-install --root-directory=/mnt /dev/sda Danach kann der USB-Stick wieder entfernt werden.
182
KAPITEL 11.
DATEN VERSCHLÜSSELN
Das neue System vorbereiten Jetzt ist es Zeit, in das verschlüsselte zu System wechseln und dort die fehlenden Mountpoints anzulegen:
# # # # #
chroot /cryptroot mkdir -p /boot /proc /sys /tmp /mnt mount -t proc proc /proc mount -t sysfs sysfs /sys mount /dev/sda1 /boot
Da beim Booten des Systems die verschlüsselten Partitionen für ROOT, SWAP und TMP geönet werden sollen, sind die beiden Dateien /etc/crypttab :
cryptroot /dev/hda1 none luks,cipher=aes-cbc-essiv:sha256 cryptswp /dev/hda2 /dev/urandom swap crypttmp /dev/hda3 /dev/urandom tmp und /etc/fstab anzupassen:
/dev/mapper/cryptroot / ext3 defaults,errors=remount-ro 0 1 /dev/mapper/cryptswp none swap sw 0 0 /dev/mapper/crypttmp /tmp ext2 defaults 0 0 Um von einem verschlüsselten Root-Dateisystem booten zu können, müssen die nötigen Module in der initrd enthalten sein und das virtuelle Device
/dev/mapper/cryptroot muss als Root eingebunden werden. Es ist also eine neue initrd zu generieren. Als Vorbereitung sind in der Datei /etc/mkinitrd/modules folgende Zeilen hinzuzufügen:
aes-i586 sha256 Folgendes Kommando erzeugt eine neue initrd:
# yaird -o /boot/initrd Anschlieÿend kann der Rechner neu gebootet werden. Dabei ist im BIOS des Rechners die Bootreihenfolge anzupassen. Als erstes ist vom USB-Stick zu booten. An zweiter Stelle steht die Festplatte, wenn auch WINDOWS genutzt werdn soll. Alle weiteren Geräte können deaktiviert werden. Die Kennzeichnung des USB-Sticks ist in fast jedem BIOS unterschiedlich. Übliche Bezeichnungen sind Generic Storage Device oder Removable Drivers.
User anlegen Nachdem das System erfolgreich wieder hochgekommen ist, kann die letzte Partition /dev/hda4 verschlüsselt werden (siehe Container erstellen ) und als
/home eingebunden werden. Es können die User angelegt werden usw. Die Partition /dev/hda4 wird nicht beim Booten geönet, sondern wenn sich ein User am System anmeldet (siehe Komfortabel beim Login ). Die LoginPasswörter der User sind auch als Schlüssel zum Önen der Partition /dev/hda4 hinzuzufügen (siehe Passwörter verwalten ) . Damit ist die Zahl der möglichen User auf 8 begrenzt, das sollte in der Regel kein Problem sein.
11.4.
BACKUPS VERSCHLÜSSELN
183
11.4 Backups verschlüsseln Mich beruhigt es, wenn alles Nötige für eine komplette Neuinstallation des Rechners zur Verfügung steht: Betriebssystem, genutzte Software und ein Backup der persönlichen Daten. Betriebssystem und Software hat man als Linux-Nutzer mit einer InstallCD der genutzen Distribution und evtl. einer zweiten CD für Download-Stu schnell beisammen. Für WINDOWS wächst in kurzer Zeit eine umfangreiche Sammlung von Software und Aktivierungs-Keys. Für das Backup der persönlichen Daten habe ich eine kleine Ideensammlung zusammengestellt, die keinen Anspruch auf Vollständigkeit erhebt. Grundsätzlich würde ich diese Daten verschlüsseln. Als Schlüssel für den Zugri sollte eine gut merkbare Passphrase genutzt werden. Keyles oder OpenPGP-Schlüssel könnten bei einem Crash verloren gehen. 1. Die persönlichen Daten oder einzelne Verzeichnisse mit häug geänderten Dateien könnte man regelmäÿig mit einer Kopie auf einem verschlüsselten Datenträger synchronisieren. Da nur Änderungen übertragen werden müssen, geht es relativ schnell. 2. Einzelne, in sich geschlossene Projekte könnten platzsparend als komprimiertes verschlüsseltes Archiv auf einem externen Datenträger abgelegt werden. 3. Gröÿere abgeschlossene Projekte könnten auf einem optischen Datenträger dauerhaft archiviert werden.
11.4.1 Schnell mal auf den USB-Stick Inzwischen gibt es preiswerte USB-Sticks mit beachtlicher Kapazität. Aufgrund der einfachen Verwendung sind sie für Backups im privaten Bereich gut geeignet. Für groÿe Datenmengen kann man auch eine externe USB-Festplatte nutzen. Das Backup-Medium würde ich mit TrueCrypt, DM-Crypt oder GELI komplett verschlüsseln, um Manipulationen auszuschlieÿen. Der Verfassungsschutz demonstrierte auf der CeBIT 2007, dass sich mit manipulierten Sticks Trojaner einschleusen lassen.
Unison-GTK Für die Synchronisation der Daten steht z.B. Unison-GTK auf der Website http://www.cis.upenn.edu/ bcpierce/unison/ für verschiedene Betriebssysteme (auch WINDOWS) zur Verfügung und bietet ein GUI für die Synchronisation. Die Installation ist einfach: Download, Entpacken und Binary starten. Für Debian/Ubuntu funktioniert auch apt-get install unison-gtk . Nach dem ersten Start wählt man Quell- und Zielverzeichnis für das Default-Prol. Es ist möglich, mehrere Prole anzulegen. Bei jedem weiteren
184
KAPITEL 11.
DATEN VERSCHLÜSSELN
Abbildung 11.7: Prol nach dem Start von Unison-GTK auswählen
Start erscheint zuerst ein Dialog zur Auswahl des Proles (Bild 11.7).
Nach Auswahl des Proles analysiert Unison die Dierenzen und zeigt im Haupfenster an, welche Aktionen das Programm ausführen würde. Ein Klick auf Go startet die Synchronisation.
Abbildung 11.8: Hauptfenster von Unison
Achtung: Unison synchronisiert in beide Richtungen und eignet sich damit auch zum Synchronisieren zweier Rechner. Verwendet man einen neuen (leeren) Stick, muss auch ein neues Prol angelegt werden! Es werden sonst alle Daten in den Quellverzeichnissen gelöscht, die im Backup nicht mehr vorhanden sind.
Neben der Möglichkeit, lokale Verzeichnisse zu synchronisieren, kann Unison auch ein Backup auf einem anderen Rechner via FTP oder SSH synchronisieren.
11.4.
185
BACKUPS VERSCHLÜSSELN
rsync Das Tool rsync ist in allen Linux-Distributionen enthalten und insbesondere für Scripte einfach verwendbar. Es synchronisiert die Dateien eines Zielverzeichnisses mit dem Quellverzeichnis und überträgt dabei nur die Änderungen. Ein Beispiel zeigt das Sichern der E-Mails und Adressbücher von Thunderbird:
rsync -av --delete $HOME/.thunderbird /backup_dir/.thunderbird Eine zweite Variante zum Sichern des gesamten $HOME inklusive der versteckten Dateien und exklusive eines Verzeichnisses (mp3) mit groÿen Datenmengen:
rsync -av --delete --include=$HOME/. --exclude=$HOME/mp3 $HOME /backup_dir/ Die Option delete löscht im Orginal nicht mehr vorhandene Dateien auch in der Sicherungskopie. Weitere Hinweise liefert die Manualpage von rsync. Ein kleines Script, welches alle nötigen Verzeichnisse synchronisiert, ist schnell gestrickt. Eine backup-freundliche Struktur im $HOME-Verzeichnis erleichtert dies zusätzlich.
11.4.2 Backups mit aespipe verschlüsseln aespipe ist Teil des AES-Loop Projektes und steht in fast allen Linux Distributionen zur Verfügung. Das Paket kann mit den Paketmanagern der Distribution installiert werden.
Verschlüsseln Das Programm aespipe tut, was der Name vermuten läÿt. Es ver- und entschlüsselt einen Datenstrom in einer Pipe mit dem AES-Algorithmus. Ein ganz einfaches Beispiel:
> tar -cj datadir | aespipe > data.tar.bz2.enc Der Inhalt des Verzeichnisses datadir
wird in ein komprimiertes TAR-
Archiv gepackt und anschlieÿend verschlüsselt in die Datei data.tar.bz2.enc geschrieben. Dabei wird eine mindestens 20 Zeichen lange Passphrase abgefragt. Wer eine etwas stärkere Verschlüsselung nutzen möchte, ergänzt die folgenden Optionen:
> tar -cj datadir | aespipe -C 10 -e aes256 > data.tar.bz2.enc Die Option -C 10
bewirkt, das der Schlüssel selbst 10.000x mit AES
bearbeitet wird. Das erschwert Brute-Force-Attacken. Mit -e aes256 nutzt das Programm 256 Bit lange Schlüssel. Es ist auch möglich, eine asymmetrische Verschlüsselung mit einem GnuPGKey zu nutzen. Das Password wird dabei mit dem Programm gpg verschlüsselt:
> tar -cj data_dir | aespipe -K gpgkey > data.tar.bz2.enc Der GnuPG-Key kann dabei mit seiner ID (z.B. 0x35AD65GF) oder mit einer E-Mail Adresse speziziert werden und sollte als vertrauenswürdiger Key im Keyring vorhanden sein.
186
KAPITEL 11.
DATEN VERSCHLÜSSELN
Entschlüsseln Entpacken kann man das verschlüsselte Archiv mit folgender Kommandozeile:
> aespipe -d < data.tar.bz2.enc | tar -xj Für Maus-Schubser Die Dateimanager der Linux-Desktops KDE und Gnome bieten mit sogenannten Aktionen
die Möglichkeit, zusätzlich Befehle in das Kontextmenü
der Dateien zu integrieren. Für Konqueror (KDE) erstellt man eine kleine
Textdatei
und
speichert
sie
mit
der
Endung
.desktop
im
Verzeichnis
/.kde/share/apps/konqueror/servicemenus Die Datei encryptleaespipe.desktop könnte folgenden Inhalt haben:
[Desktop Entry] ServiceTypes=all/allfiles Actions=encryptfileaespipe [Desktop Action encryptfileaespipe] TryExec=aespipe Exec=konsole -e bash -c "cat %f | aespipe -T > %f.enc" Name=Datei verschlüsseln (aespipe) Icon=encrypted Zukünftig ndet man im Kontextmenü einer Datei unter Aktionen den Menüpunkt Datei verschlüsseln (aespipe) (Bild 11.9). Wählt man diesen Punkt, önet sich ein Terminal zur doppelten Passwortabfrage. Anschlieÿend ndet man eine neue Datei im Verzeichnis mit der zusätzlichen Endung .enc, die man auf das Backup-Medium schieben kann.
Abbildung 11.9: Neue Aktion im Servicemenü von Konqueror
Verzeichnisse sind zuerst zu komprimieren. Einträge sind bereits vorhanden.
11.4.3 Verschlüsselte Backups mit dar Der Disk Archiver dar
steht auf der Website http://dar.linux.free.fr zum
Download bereit und ist auch in fast allen Linux Distributionen enthalten. Mit
11.4.
187
BACKUPS VERSCHLÜSSELN
KDar steht unter http://kdar.sourceforge.net/ ein grasches GUI für KDE zur Verfügung. Wir wollen hier nicht das 30-seitige Manual-Page von dar wiedergeben, das Programm bietet viele Möglichkeiten. Wir beschränken uns auf die einfache Erstellung eines verschlüsselten, komprimierten Backups für ein abgeschlossenes Projekt. Neben diesem einfachen Voll-Backup sind auch inkrementelle Backups möglich, eine Manager zur Verwaltung verschiedener Backups steht zur Verfügung, spezielle Optionen für Cron-Jobs... Standardmäÿig erstellt dar ein Backup der Dateien des aktuellen Verzeichnisses:
> cd $HOME/Projekt_X > dar -c $HOME/backup/projekt Nach dem Durchlauf des Programms ndet man im Verzeichnis $HOME/backup
die
Dateien
projekt.1.dar,
projekt.2.dar....
usw.
Das
gesamte
Backup wird Brenner-freundlich in mehrere Slices aufgeteilt, die man auf eine CD oder DVD brennen kann. Die weiteren Parameter können in einer Kongurationsdatei festgelegt werden. Das Wiederherstellen des Backups von den CD-ROMs ins aktuelle Verzeichnis erfolgt mit folgendem Kommando:
> mkdir Projekt_X > cd Projekt_X > dar -x -p /media/cdrom Die Option -p sorgt dafür, dass nach jedem Slice eine Pause gemacht wird, um dem User die Möglichkeit zu geben, die CD zu wechseln. Um nicht bei jedem Aufruf einen Rattenschwanz von Optionen angeben zu müssen, bietet dar die Möglichkeit, Standards in den Dateien /etc/darrc oder $HOME/.darrc zu speichern. Die folgende kommentierte Vorlage kann in einen Editor übernommen und gespeichert werden:
# Allgemeine Optionen all: # Backups mit gzip komprimiert -z9 # Backups mit Blowfisch verschlüsselt -K bf: # Option für das Anlegen von Backups create: # Gröÿe einer Slice (für DVDs: -s 4G) -s 700M # Komprimierte Dateien nicht nochmals komprimieren -Z *.gz
188
KAPITEL 11.
DATEN VERSCHLÜSSELN
-Z *.bz2 -Z *.mp3 # Keine BAK-Dateien sichern -X *~ -X *.bak # Option für das Extrahieren von Backups extract: # ein Beep nach jedem Slice -b Weitere Optionen ndet man in der Dokumentation.
Kapitel 12
Daten löschen Neben der sicheren Aufbewahrung von Daten steht man gelegentlich auch vor dem Problem, Dateien gründlich vom Datenträger zu putzen. Es gibt verschiedene Varianten, Datein vom Datenträger zu entfernen. Über die Arbeit der einzelnen Varianten sollte Klarheit bestehen, anderenfalls erlebt man evtl. eine böse Überraschung.
1. Dateien in den Papierkorb werfen Unter WIN wird diese Variante als Datei(en) löschen bezeichnet, was etaws irreführend ist. Es wird überhaupt nichts beseitigt. Die Dateien werden in ein spezielles Verzeichnis verschoben. Sie können jederzeit wiederhergestellt werden. Das ist kein Bug, sondern ein Feature.
2. Papierkorb leeren Auch beim Löschen der Dateien in dem speziellen Müll-Verzeichnis werden keine Inhalte beseitigt. Lediglich die von den Dateien belegten Bereiche auf dem Datenträger werden als frei
gekennzeichnet. Falls sie nicht zufällig
überschrieben werden, kann ein mittelmäÿig begabter User sie wiederherstellen. Forensische Tools wie Sleuthkit unterstützen Ermittler dabei. Sie bieten Werkzeuge, die den gesamten, als frei gekennzeichneten Bereich, eines Datenträgers nach Mustern durchsuchen können.
3. Dateien sicher löschen Um sensible Daten sicher vom Datenträger zu putzen, ist es nötig, sie vor dem Löschen zu überschreiben. Es gibt diverse Tools, die einzelne Dateien oder ganze Verzeichnisse shreddern können.
•
Für WINDOWS gibt es AxCrypt (http://www.axantum.com/AxCrypt). Das kleine Tool zur Verschlüsselung und Löschung von Dateien integriert sich in den Dateimanager und stellt zusätzliche Menüpunkte für das sichere Löschen von Dateien bzw. Verzeichnissen bereit.
189
190
KAPITEL 12.
•
DATEN LÖSCHEN
Unter Linux kann KGPG einen Reiÿwolf auf dem Desktop installieren. Dateien können per Drag-and-Drop aus dem Dateimanager auf das Symbol gezogen werden, um sie zu shreddern.
•
Für Liebhaber der Kommandozeile gibt es shred und wipe für Linux. Einzelne Dateien kann man mit shred löschen:
> shred -u dateiname Für Verzeichnisse kann man wipe nutzen. Das folgende Kommando überschreibt alle Dateien in allen Unterverzeichnissen 34x und löscht anschleiÿend das gesamte Verzeichnis.
> wipe -rcf verzeichnis Auch bei diesen Varianten bleiben möglicherweise Spuren im Dateisystem zurück. Aktuelle Betriebssysteme verwenden ein Journaling Filesystem. Metadaten und evtl. auch Dateiinhalte werden nicht nur in die Datei geschrieben, sondern auch in das Journal. Es gibt kein Tool für sicheres Löschen von Dateien, welches direkten Zugri auf das Journal hat. Die Dateiinhalte werden aber sicher gelöscht.
4. Gesamten Datenträger säubern Bevor ein Laptop oder Computer entsorgt oder weitergeben wird, sollte man die Festplatte gründlich putzen. Am einfachsten erledigt man diesen Job mit einer Linux Live-CD. Nach dem Booten des Live Systems önet man ein Terminal und überschreibt die gesamte Festplatte. Bei einem Aufruf wird der Datenträger 4x überschrieben, es dauert einige Zeit. Für die erste IDE-Festplatte:
> wipe -kq /dev/hda Für SATA- und SCSI-Festplatte:
> wipe -kq /dev/sda Wenn die Live-CD das Tool wipe nicht enthält, kann man alternativ dd (disk doubler) nutzen. Um die erste IDE-Festplatte mehrfach mit NULL und Zufallszahlen zu überschreiben, kann man folgende Kommandos nutzen:
> dd if=/dev/zero of=/dev/hda > dd if=/dev/urandom of=/dev/hda 5. Zerstören des Datenträgers In einem Degausser kann man Informationen auf einem magnetischen Datenträger bei hohen Temperaturen und unter Einwirkung eines starken Magnetfeldes vollständig zerstören. Für Privatpersonen ist diese Variante in der Regl zu teuer.
Kapitel 13
Daten verstecken Geheimdienste orakeln seit Jahren immer wieder, das Terroristen über versteckte Botschaften in Bildern kommunizieren. Telepolis berichtete 2001 und 2008 kritisch darüber. Stichhaltige Belege für die Nutzung von
Steganograe
konnten bisher nicht geliefert werden.
Bislang ist zwar noch nicht bewiesen, ob die Terrorverdächtigen die Bilder - bei einem Verdächtigen wurden 40.000 Stück gefunden - nur zum persönlichen Vergnügen heruntergeladen haben oder ob tatsächlich ein Kommunikationsnetzwerk aufgebaut wurde. (Welt Online, 2008, wieder einmal viel heiÿe Luft.) Wie funktioniert diese Technik, über die Zeit Online bereits 1996 berichtete und können Nicht-Terroristen das auch nutzen?
Ein Beispiel Statt Bits und Bytes werden in diesem Beispiel Buchstaben genutzt, um das Prinzip der Steganograe zu erläutern. Nehmen wir mal an, Terrorist A möchte an Terrorist B die folgende kurze Botschaft senden:
Morgen! Statt die Nachricht zu verschlüsseln, was auällig sein könnte, versteckt er sie in folgendem harmlos aussehenden Satz:
Mein olles radio geht einfach nicht! Wenn der Empfänger weiss, dass die eigentliche Botschaft in den Anfangsbuchstaben der Wörter kodiert ist, wäre es ganz gut, aber nicht optimal. Ein Beobachter könnte auf den Gedanken kommen: Was - wieso Radio? Der
zahlt doch keine GEZ! Er wird aufmerksam und mit ein wenig Probieren kann der die Botschaft extrahieren. Also wird Terrorist A die Nachricht zusätzlich verschlüsseln, nehmen wir mal eine einfache Caesar-Verschlüselung mit dem Codewort KAWUM, es entsteht:
Ilpcmg! 191
192
KAPITEL 13.
DATEN VERSTECKEN
und ein neuer, halbwegs sinnvoller Satz wird konstruiert und verschickt. Das Beispiel verdeutlicht, welche Voraussetzungen für die Nutzung von Steganograe zum Austausch von Nachrichten gegeben sein müssen: 1. Sender und Empfänger müssen sich darüber verständigt haben, wie die Nutzdaten versteckt und verschlüsselt werden. 2. Die Nutzdaten sollte man zusätzlich verschlüsseln, da nicht ausgeschlossen ist, dass ein Beobachter aufmerksam wird. 3. Die Cover-Datenmenge muss viel gröÿer als die Datenmenge der Nutzdaten sein.
Steganograe-Tools Kleine Softwaretools vereinfachen die Nutzung der Steganograe. Derartige Tools wurden schon im vergangenen Jahrhundert entwickelt und sind keineswegs neu, wie Scotland Yard behauptet. Es steht eine umfangreiche Palette zur Verfügung. steghide (http://steghide.sourceforge.net/) und outguess (http://niels.xtdnet.nl/) sind auf dem Stand der Technik, andere meist nicht mehr gepegt und veraltet. Diese Tools verstecken Text oder kleine Dateien in Bildern bzw. Audiodateien. Diese Trägermedien sind besonders geeignet, da kleine Modikationen an Farbwerten oder Tönen nicht auallen und auch Redundanzen genutzt werden können. Die Nutzdaten werden häug mit starken kryptograschen Algorithmen verschlüsselt. Auch darum braucht der Anwender sich nicht unbedingt selbst kümmern, die Eingabe einer Passphrase reicht, um dieses Feature zu aktivieren. Besitz und Nutzung dieser Tools ist nicht verboten. Sie dienen der digitalen Selbsverteidigung (sind ungeeignet, um fremde Rechnersysteme anzugreifen).
Wasserzeichen Man kann Tools für Steganograe auch nutzen, um unsichtbare Wasserzeichen an Bildern oder Audiodateien anzubringen (Copyright-Hinweise u.ä.)
13.1 steghide Steghide ist ein Klassiker unter den Tools für Steganograe. Es kann beliebige Daten verschlüsselt in JPEG, BMP, WAV oder AU Dateien verstecken. Die verwendeten Algorithmen sind sehr robust gegen statistische Analysen. Die Downloadsite unter http://steghide.sourceforge.net/ bietet neben den Sourcen auch Binärpakete für WINDOWS. Nutzer von Debian und Ubuntu installieren es wie üblich mit:
# aptitude install steghide
13.1.
193
STEGHIDE
steghide ist ein Kommandozeilen-Tool Um die Datei geheim.txt zu verschlüsseln und in dem Foto bild.jpg zu verstecken, ruft man es mit folgenden Parametern auf (mit -sf kann optional eine dritte Datei als Output verwendet werden, um das Original nicht zu modizieren):
> steghide embed -cf bild.jpg -ef geheim.txt Enter passphrase: Re-Enter passphrase: embedding "geheim.txt" in "bild.jpg"... done Der Empfänger extrahiert die geheimnisvollen Daten mit folgendem Kommando (mit -xf könnte ein anderer Dateiname für die extrahierten Daten angegeben werden):
> steghide extract -sf bild.jpg Enter passphrase: wrote extracted data to "geheim.txt". Auÿerdem kann man Informationen über die Coverdatei bzw. die Stegodatei abfragen. Insbesondere die Information über die Kapazität der Coverdatei ist interessant, um abschätzen zu können, ob die geheime Datei reinpasst:
> steghide info bild.jpg Format: jpeg Kapazität: 12,5 KB Die Passphrase kann mit dem Parameter -p Das geheime Passwort auf der Kommandozeile übergeben werden.
Konqueror und Nautilus Linuxer, welche die Dateimanager Konqueror (KDE) oder Nautilus (Gnome) nutzen, können das Verstecken und Extrahieren auch mit wenigen Mausklicks erledigen:
•
Das Konqueror Servicemenü für steghide gibt es bei KDE-apps.org. Nach dem Download ist das Archiv zu entpacken. Die .desktop-Datei kopiert man nach $HOME/.kde/share/apps/konqueror/servicemenus/
und das
Shell-Script nach /usr/local/bin.
In Zukunft ndet man bei einem Rechtsklick auf die Cover-Datei (JPEG, WAV, AU) im Untermenü Aktionen die Menüpunkte für das Einfügen und Extrahieren von Dateien mit steghide. (Bild 13.1). Für das Verstecken (embed) wählt man noch eine zweite Datei, die dann nach Abfrage des Passworts in der Cover-Datei versteckt wird.
•
Das
Nautilus
Action
Script
ist
ebenfalls
zu
entpacken
und
in
$HOME/gnome2/nautilus-scripts zu speichern.
Dann mit der rechten Maustaste auf eine JPEG-Datei klicken, den Menüpunkt Scripte - steghide_jpg wählen und den Anweisungen folgen.
194
KAPITEL 13.
DATEN VERSTECKEN
Abbildung 13.1: Steghide Menü im Konqueror
13.2 stegdetect Auch F5,
die
Gegenseite
outguess,
jphide
ist
nicht
usw.
wehrlos.
können
z.B.
Manipulationen mit
stegdetect
von
erkannt
steghide, werden.
(http://www.outguess.org/download.php) Ein GUI steht mit xsteg zur Verfügung, die Verschlüsselung der Nutzdaten kann mit stegbreak
angegrien
werden. Beide Zusatzprogramme sind im Paket enthalten. Der Name stegdetect ist eine Kurzform von Steganograe Erkennung. Das Programm ist nicht nur für den Nachweis der Nutzung von steghide geeignet, sondern erkannt anhand statistischer Analysen auch andere Tools. Für Debian und Ubuntu gibt es fertige Pakete:
# aptitude install stegdetect xsteg stegbreak Auch stegdetect ist ein Tool für die Kommandozeile. Neben der zu untersuchenden Datei kann mit einem Parameter -s die Sensitivität eingestellt werden. Standardmäÿig arbeitet stegdetect mit einer Empndlichkeit von 1.0 ziemlich oberächlich. Sinnvolle Werte liegen bei 2.0...5.0.
> stegdetect -s23.0 bild.jpg F5(***) Im Beispiel wird eine steganograsche Manipulation erkannt und vermutet, dass diese mit dem dem Tool F5 eingebracht wurde (was nicht ganz richtig ist da steghide verwendet wurde).
Frage: Was kann man tun, wenn auf der Festplatte eines mutmaÿlichen Terroristen 40.000 Bilder rumliegen? Muss man jedes Bild einzeln prüfen?
Antwort: Ja - und das geht so: 1. Der professionelle Forensiker erstellt zuerst eine 1:1-Kopie der zu untersuchenden Festplatte und speichert das Image z.B. in terroristen_hda.img 2. Mit einem kurzen Dreizeiler scannt er alle 40.000 Bilder in dem Image:
13.2.
STEGDETECT
195
> losetup -o $((63*512)) /dev/loop0 terroristen_hda.img > mount -o ro,noatime,noexec /dev/loop0 /mnt > find /mnt -iname "*.jpg" -print0 | xargs -0 stegdetect -s 2.0 >> ergebnis.txt (Für Computer-Laien und WINDOWS-Nutzer sieht das vielleicht nach Voodoo aus, für einen Forensiker sind das jedoch Standardtools, deren Nutzung er aus dem Ärmel schüttelt.) 3. Nach einiger Zeit wirft man eine Blick in die Datei ergebnis.txt und weiÿ, ob es etwas interessantes auf der Festplatte des Terroristen gibt oder nicht.